Milliókat értek el a fertőzött Play Store appok

Több mint húsz fertőzött appban jutott át a Google hivatalos alkalmazásboltjának védelmén egy androidos kártevő. A malware több millió készüléket fertőzhetett meg.

A Play Store-ba is utat talált a külső alkalmazásboltokban, valamint fertőzött weboldalakon tavaly nyáron felbukkant androidos HummingBad malware új változata, a HummingWhale. A kártevőről 2016 júliusában hallhattunk, azzal egy kínai bűnözőcsapat akkor mintegy 10 millió androidos eszközt fertőzött meg. A rosszindulatú szoftver az áldozatokat reklámokkal bombázta, illetve egy rootkitet is megkísérelt telepíteni a készülékekre, amellyel a támadók teljes jogosultságot szerezhettek az adott eszközön. A bűnbanda számára a malware nagyon jövedelmező "üzletnek" bizonyult, az a napi szinten megjelenített húszmillió rosszindulatú hirdetéssel, illetve ötvenezer káros app telepítésével becslések szerint havi 300 ezer dollár bevételt termelt a készítőknek.

Akárcsak a HummingBadről, az újonnan felfedezett HummingWhale kártevőről is a Check Point biztonsági szakértői számoltak be először. Különösen figyelemre méltó - és ijesztő - hogy az nem csak átjutott a Play Store védvonalain, de több mint húsz alkalmazásban megbújva volt jelen a Google hivatalos alkalmazásboltjában. Az appokat kínai fejlesztői álnevek alatt tették közzé a felületen.

A fertőzött alkalmazások működése ismerős, azok vezérlőszervere rosszindulatú hirdetéseket és további alkalmazásokat biztosít a telepített kártevőnek, amely azokat a felhasználó számára megjeleníti. Mikor az megpróbálja bezárni a zavaró reklámot, a malware az általa közben már letöltött appot egy virtuális gépre tölti fel, majd azon futtatja is. A művelettel a kártevő egy hamis referrer azonosítóhoz jut, amellyel bevételt generál üzemeltetőinek. Miután ehhez a malware-nek nincs szüksége emelkedett jogosultságokra, jóval egyszerűbben be tud szivárogni a Play Store alkalmazásai közé, ráadásul miután egy eszközt megfertőzött azon lényegében végtelen számú káros appot futtathat, a készülék túlterhelése nélkül.

De a malware további trükköket is tartogat, képes elrejteni például az eredetileg letöltött, fertőzött appot a készüléken, hogy a felhasználó nehezebben tudja azt eltávolítani, illetve a Play Store-ban már korábban látott taktikához folyamodva hamis értékelésekkel próbálja jobb színben feltüntetni az alkalmazásboltba bejutott fertőzött szoftvereket. A Google online boltjában a HummingWhale-t tartalmazó appokat 2-12 millió alkalommal töltötték le, így komoly tömegeket érint. Ahogy azt a Check Point biztonsági szakértői is hangsúlyozzák, ez az eset is jól mutatja, hogy mára a Google biztonsági intézkedései sem jelentenek kielégítő védelmet, a felhasználóknak különös körültekintéssel kell eljárniuk még a hivatalos források esetén is. A Google a biztonsági cég értesítését követően eltávolította a kártékony appokat a Play Store-ból.