''Divlje'' aplikacije i Google Play najčešći izvor malicioznih Android aplikacija

Mobilni telefoni, 18.12.2017, 00:30 AM

Istraživači iz firme RiskIQ analizirali su 120 prodavnica mobilnih aplikacija. Oni su utvrdili da se divlje aplikacije, aplikacije koje se mogu preuzeti na internetu izvan prodavnica, i Google Play prodavnica najčešći izvori zlonamernih aplikacija. Pored toga, vodeći programer aplikacija sa crne liste u trećem kvartalu ove godine koji je i bio predmet analize, Naj Sabeng Larang, je radio isključivo u Play prodavnici. Međutim, procenat zlonamernih aplikacija iz Googleove prodavnice je u celini smanjen i pao je na 4% u analiziranom kvartalu, nakon što je u prethodnom kvartalu dostigao 8%.

Na trećem mestu, druga prodavnica AndroidAPKDescargar je u trećem kvartalu udvostručila broj malicioznih aplikacija na 20907 koje čine oko trećinu ukupnog broja aplikacija, tako da ona nadmašuje sve druge prodavnice za više od 10000.

Prodavnica na četvrtom mestu je ApkFiles je u prvom kvartalu dostigla broj od 25545 aplikacija, koji se u drugom kvartalu smanjio i ponovo porastao u trećem kvartalu. U međuvremenu, 97% od 6052 aplikacija iz 9game.com (od kojih su većina igrice) označene su kao zlonamerne.

Na osnovu ovih podataka, RiskIQ je zaključio da se neke prodavnice stvaraju i pumpaju velikim brojem zlonamernih aplikacija u kratkom vremenskom periodu. Istraživači pretpostavljaju da bi ovo moglo biti uslovljeno određenom kampanjom ili da bi se otežalo otkrivanje aplikacija iz poznatih loših prodavnica.

Jedan od načina širenja zlonamernih aplikacija je imitiranje drugih aplikacija koje su poznate i popularne. Antivirusne aplikacije, aplikacije za upoznavanje i aplikacije za razmenu poruka i društvene mreže omiljene su kriminalcima koji koriste ovu taktiku. Google Play prodavnica je posebno plodno tlo za ovakve napade. Istraživači su u pretragu u Play prodavnici uneli reč "WhatsApp" i dobili 497 unosa. Isti upit za Instagram rezultirao je sa 566 unosa. Avast antivirus je kopirao programer DevTech Inc., koji ima još četiri aplikacije u prodavnici od septembra - uključujući i klon aplikacije Waze.

Osim povećanja broja opasnih i imitacija poznatih aplikacija, u analiziranom periodu je takođe primećena pojava napada velike mobilne bot mreže, poznate pod imenom WireX. U avgustu su se RiskIQ, Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, Team Cymru i druge firme udružile u borbi protiv ove pretnje, koja utiče na najmanje 70000 Android korisnika širom sveta. Nakon kratke faze razvoja, 17. avgusta, bot mreža je napala nekoliko mreža za dostavu sadržaja (CDN) - sa između 130000 i 160000 jedinstvenih IP adresa iz više od 100 zemalja.

Ukupno je identifikovano oko 300 aplikacija povezanih za WireX, od kojih je deo pronađen u zvaničnim prodavnicama aplikacija, kao što je prodavnica Play. Google je blokirao ove aplikacije i uklonio ih sa svih Android uređaja. Ove aplikacije se maskiraju u medije i video plejere, melodije zvona i menadžere za skladištenje podataka. Jednom instalirane, one aktiviraju skrivenu funkcionalnost da bi komunicirale sa komandno-kontrolnim serverima i pokrenule napade, bez obzira da li se aplikacija koristi ili ne.

U ovom slučaju, izuzetna saradnja između profesionalaca iz oblasti bezbednosti nanela je štetu mreži WireX pre nego što je mogla da pokrene pogubnije napade. Međutim, bot mreža nije mrtva a istraživači i dalje nailaze na primerke njenih zlonamernih aplikacija. Možda neće proći dugo pre porasta nove mobilne bot mreže izgrađene širenjem malicioznih Android aplikacija.