Popularna aplikacja na Androida zamieniona w złośliwe oprogramowanie: sprawdź teraz swój telefon
W zeszłym tygodniu informowaliśmy, że Google usunęło popularne rozszerzenie Chrome, ponieważ nowi właściciele przekształcili je w złośliwą aplikację. W niepokojąco powszechnym powtórzeniu prawie to samo stało się z popularną aplikacją na Androida, która została pobrana miliony razy ze Sklepu Play. Znikąd zaczął wyświetlać złośliwe reklamy, a teraz go nie ma.
Malwarebytes dokumentuje, jak użytkownicy jego forum zaczęli zgłaszać dziwne wyskakujące reklamy i przekierowania stron internetowych w swoich przeglądarkach mobilnych nieco ponad miesiąc temu. Po pewnym węszeniu przez personel serwisu ustalono, że aktualizacja „Barcode Scanner" firmy Lavabird LTD z 4 grudnia zaczęła wyświetlać reklamy niepotrzebnych (i prawdopodobnie fałszywych) serwerów bezpieczeństwa milionom użytkowników.
Malwarebytes zaalarmował Google, a lista aplikacji została usunięta ze Sklepu Play, ale podobno nie została ona zdalnie odinstalowana z telefonów użytkowników, których dotyczy problem (jak miało to miejsce w przypadku rozszerzenia Chrome). Przypuszczalnie aplikacja prześlizgnęła się przez zwykle solidny pakiet zabezpieczeń Sklepu Play, Google Play Protect, instalując złośliwy kod jako nieszkodliwą aktualizację, zamiast zaczynać jako fałszywa aplikacja: była używana nieszkodliwie przez lata przed aktualizacją.
Jeśli Twoja aplikacja do skanowania kodów kreskowych wygląda tak, odinstaluj ją teraz. Skaner kodów kreskowych
Nie jest jasne, co spowodowało zmianę. W przypadku rozszerzenia The Great Suspender to oczywiście nowi właściciele usługi sprowadzili ją na złą drogę. W przypadku skanera kodów kreskowych nie było oczywistej zmiany właściciela ani zachowania programisty, które spowodowały, że aplikacja stała się złośliwa. Jeśli zastanawiasz się, jaka to konkretna aplikacja Canner, była to wcześniej strona https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner. Co dziwne, twórca tej aplikacji jest nadal aktywny w Sklepie Play, a podobna aplikacja (nie aktualizowana od sierpnia) nadal jest dostępna. Jest wymieniony z identyczną ikoną i (prawdopodobnie celowym?) błędną pisownią „skaner kodów kreskowych”. W informacjach o deweloperach znajduje się Maharashtra w Indiach jako lokalizacja, z ogólnym adresem Gmaila i pustą stroną internetową. Poprzednie wersje aplikacji, najwyraźniej pod tym samym kontem programisty, pokazywały nieszkodliwą stronę WordPress jako swoją witrynę internetową.
Z ciekawości zainstalowałem alternatywną wersję aplikacji. Wymienia politykę prywatności na tej stronie WordPress, która zawiera dość zwyczajne zastrzeżenie dotyczące wyświetlania reklam w samej aplikacji, co jest standardową i akceptowalną praktyką. Nie od razu zauważyłem zachowanie związane z przejmowaniem przeglądarki opisane w poście na blogu Malwarebytes. Cokolwiek poszło nie tak z drugą aplikacją, wydaje się, że nie dzieje się to z duplikatem, chociaż nie jest jasne, dlaczego Google po prostu nie zniszczyło wszystkich wpisów programisty.
Wysiłki Google mające na celu utrzymanie „czystości” Androida i Chrome były jak dotąd ogólnie znakomite, pomimo ich nieodłącznej luki w zabezpieczeniach jako otwartych platform. Ale nikczemni aktorzy mogą być pomysłowi w swoich wysiłkach na rzecz obejścia zabezpieczeń i wydaje się, że aktualizacje aplikacji, które od dawna ufają, stały się czymś w rodzaju ślepego punktu. Google musi robić lepiej, aby chronić swoich użytkowników na wszystkich platformach.
Źródło: Malwarebytes