Популярное приложение для Android превратилось во вредоносное ПО: проверьте свой телефон прямо сейчас
На прошлой неделе мы сообщали, что Google удалил популярное расширение Chrome, потому что новые владельцы превратили его в вредоносное приложение. В тревожно распространенном повторении почти то же самое произошло с популярным приложением для Android, которое было загружено миллионы раз в Play Store. Из ниоткуда он начал показывать вредоносную рекламу, а теперь ее нет.
Malwarebytes документирует, как пользователи форума начали сообщать о странных всплывающих окнах с рекламой и перенаправлениях веб-сайтов в своих мобильных браузерах чуть более месяца назад. После некоторого слежки со стороны сотрудников службы было установлено, что обновление «Сканер штрих-кода» от 4 декабря от Lavabird LTD начало рекламировать ненужные (и, возможно, мошеннические) серверы безопасности для миллионов пользователей.
Malwarebytes предупредила Google, и приложение было удалено из Play Store, но, как сообщается, оно не было удалено удаленно с телефонов затронутых пользователей (как в случае с расширением Chrome). Предположительно, приложение ускользнуло от обычно надежного набора средств защиты Play Store, Google Play Protect, установив вредоносный код как безобидное обновление, а не как фальшивое приложение: оно безвредно использовалось в течение многих лет до обновления.
Если ваше приложение для сканирования штрих-кода выглядит так, удалите его прямо сейчас. Сканер штрих-кода
Непонятно, что послужило причиной изменения. В случае с расширением The Great Suspender очевидно, что новые владельцы сервиса повели его по плохой дороге. Для сканера штрих-кода не было очевидных изменений в праве собственности или поведении разработчика, которые сделали приложение вредоносным. Если вам интересно, какое конкретно это приложение для сканирования, ранее оно находилось по адресу https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner. Как ни странно, разработчик этого приложения все еще активен в Play Store, а аналогичное приложение (не обновлявшееся с августа) все еще доступно.. Он указан с идентичным значком и (возможно, преднамеренным?) опечаткой «сканер штрих-кода». В информации о разработчике указан штат Махараштра, Индия, с общим адресом Gmail и пустой веб-страницей. Предыдущие версии приложения, очевидно, под той же учетной записью разработчика, показывали безобидную страницу WordPress в качестве своего веб-сайта.
Из любопытства я установил альтернативную версию приложения. В нем указана политика конфиденциальности на этой странице WordPress, в которой есть довольно заученный отказ от ответственности за показ рекламы в самом приложении, что является стандартной и приемлемой практикой. Я не сразу увидел поведение захвата браузера, описанное в блоге Malwarebytes. Что бы ни пошло не так с другим приложением, похоже, этого не происходит с дубликатом, хотя неясно, почему Google просто не уничтожил все списки разработчика.
Усилия Google по поддержанию «чистоты» Android и Chrome до сих пор были в целом безупречными, несмотря на присущую им уязвимость как открытых платформ. Но недобросовестные деятели могут проявлять изобретательность в своих попытках обойти систему безопасности, и похоже, что обновления приложений, которым давно доверяют, стали чем-то вроде слепого пятна. Google нужно лучше защищать своих пользователей на всех платформах.
Источник: Malwarebytes