O co chodzi?

Badacze zajmujący się cyberbezpieczeństwem wskazali na sześć aplikacji w sklepie Google Play o łącznej ilości ponad 200 000 pobrań, które były zainfekowane złośliwym oprogramowaniem, nękającym użytkowników Androida od trzech lat.

Te właśnie usunięte ze sklepu Google Play aplikacje ze złośliwym oprogramowaniem odnotowały łącznie 200.000 pobrań.

Joker czyli tu nie chodzi o tytuł filmu

Szkodliwe oprogramowanie Joker udaje legalną aplikację w Sklepie Play, ale po instalacji dokonuje oszustwa rozliczeniowego, wysyłając wiadomości SMS na numer o podwyższonej opłacie lub wykorzystując konto ofiary do wielokrotnego dokonywania zakupów za pomocą rozliczeń WAP - co oczywiście również trafia do kieszeni operatorów Jokera.

Ta aktywność odbywa się w całkowitym ukryciu, bez absolutnie żadnej interakcji z użytkownikiem (poza naturalnie samym pobraniem i zainstalowaniem aplikacji). Oznacza to, że tacy pechowcy często nawet nie dowiedzą się, że zostali oszukani, dopóki nie otrzymają rachunku telefonicznego z dodatkowymi opłatami.

Okej okej, które konkretnie?

Firma Google usunęła ogółem ze Sklepu Play od roku 2017 ponad 1700 aplikacji zawierających złośliwe oprogramowanie Joker. Ale złośliwe oprogramowanie wciąż się pojawia i teraz badacze z firmy Pradeo, zajmującej się bezpieczeństwem cybernetycznym, zidentyfikowali sześć nowych złośliwych aplikacji.

Z sześciu odkrytych aplikacji dostarczających Jokera, jedna o nazwie „Convenient Scanner 2” została pobrana sama ponad 100 000 razy, a „Separate Doc Scanner” – przez 50 000 użytkowników. Inna aplikacja, „Safety AppLock” (twierdząca na dodatek, że „chroni Twoją prywatność”), została zainstalowana 10 000 razy. Dwie kolejne aplikacje również otrzymały 10 000 pobrań każda - „Push Message-Texting & SMS” oraz „Emoji Wallpaper”, a jedna o nazwie Fingertip GameBox została pobrana 1000 razy.

Co na to Google?

Wszystkie te aplikacje zostały już usunięte ze Sklepu Play po przekazaniu przez Pradeo swoich rewelacji Google’owi. Użytkownicy, którzy mają nadal którąkolwiek z aplikacji na swoim smartfonie z Androidem, są proszeni o jej natychmiastowe usunięcie.

Sześć aplikacji to tylko najnowsze z długiej linii prób, które grupa stojąca za Jokerem - znana również jako Bread – przedsiębrała aby wstrzyknąć swoje złośliwe oprogramowanie w uniwersum aplikacji sklepu Google Play.

W poprzednim poście na blogu zespołu Google ds. Bezpieczeństwa i prywatności w systemie Android opisano Jokera jako jedno z najbardziej trwałych zagrożeń, na jakie narażony jest Sklep Play. Stojące za nim osoby w pewnym momencie wykorzystały niemal każdą znaną pod słońcem technikę maskowania, próbując pozostać niewykrytymi. Pracownicy Google’a zwracają również uwagę, że sama liczba prób przesłania do Sklepu Play jest jednym z powodów, dla których Joker odniósł tak duży sukces, ponieważ w godzinach szczytu przesyłanych jest do 23 różnych aplikacji dziennie.

Co gorsza, w wielu przypadkach złośliwe aplikacje były w stanie ominąć zabezpieczenia Sklepu Play, przesyłając na początek czyste aplikacje, aby później dodać złośliwe funkcje. Roxane Suau z Pradeo stwierdził wprost:

Te aplikacje są przepełnione prośbami o pozwolenie i przesyłane do Google Play przez ich programistów. Następnie zostają zatwierdzane, publikowane i instalowane przez użytkowników. Po uruchomieniu na urządzeniach użytkowników automatycznie pobierają złośliwy kod.