Популярний додаток для Android, перетворений на шкідливе програмне забезпечення: перевірте свій телефон зараз
Минулого тижня ми повідомили, що Google видалив популярне розширення Chrome, оскільки нові власники перетворили його на програму зловмисного програмного забезпечення. У тривожно поширеному повторенні майже те ж саме сталося з популярним додатком для Android, який мільйони разів завантажували з Play Store. З нізвідки він почав показувати шкідливу рекламу, а тепер його немає.
Malwarebytes документує, як користувачі його форуму почали повідомляти про дивну спливаючу рекламу та перенаправлення веб-сайтів у своїх мобільних браузерах трохи більше місяця тому. Після деякого перегляду з боку персоналу служби було встановлено, що оновлення «Сканер штрих-коду» від Lavabird LTD від 4 грудня почало показувати мільйонам користувачів рекламу непотрібних (і, можливо, шахрайських) серверів безпеки.
Malwarebytes попередив Google, і список додатка було видалено з Play Store, але, як повідомляється, його не було віддалено видалено з телефонів постраждалих користувачів (як у випадку з розширенням Chrome). Імовірно, програму проминуло через зазвичай надійний набір засобів захисту Play Store, Google Play Protect, встановивши шкідливий код як нешкідливе оновлення замість того, щоб запустити як фальшиву програму: вона використовувалася нешкідливо протягом багатьох років до оновлення.
Якщо ваш додаток для сканування штрих-кодів виглядає так, видаліть його зараз. Сканер штрих-коду
Незрозуміло, що спонукало до змін. У випадку з розширенням The Great Suspender, очевидно, нові власники сервісу спрямували його на погану дорогу. Для сканера штрих-коду не відбулося жодних очевидних змін у власності чи поведінці розробника, які зробили б додаток шкідливим. Якщо вам цікаво, який це конкретний додаток canner, раніше він був на https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner. Як не дивно, розробник цієї програми все ще активний у Play Store, а подібний додаток (не оновлюваний із серпня) все ще працює. Він вказано з ідентичним значком і (можливо, навмисним?) неправильним написанням слова «сканер штрих-коду». У його інформації розробника вказано Махараштра, Індія, як місце розташування, із загальною адресою Gmail і порожньою веб-сторінкою. Попередні версії програми, очевидно, під тим самим обліковим записом розробника, показували нешкідливу сторінку WordPress як свій веб-сайт.
З цікавості я встановив альтернативну версію програми. У ньому перелічено політику конфіденційності на цій сторінці WordPress, на якій є досить чітка застереження щодо розміщення реклами в самій програмі, що є стандартною та прийнятною практикою. Я не відразу побачив поведінку викрадення браузера, описану в дописі в блозі Malwarebytes. Що б не пішло не так з іншим додатком, з дублікатом, здається, цього не відбувається, хоча незрозуміло, чому Google просто не знищив усі списки розробника.
Зусилля Google підтримувати Android і Chrome «чистими» поки що були в цілому бездоганними, незважаючи на притаманну їм уразливість як відкритих платформ. Але недоброзичливці можуть бути винахідливими у своїх зусиллях обійти безпеку, і схоже, що оновлення давно надійних програм стали чимось на кшталт сліпої зони. Google має зробити краще, щоб захистити своїх користувачів на всіх платформах.
Джерело: Malwarebytes