Iako je najbezbedniji izvor aplikacija za Android, sa Google Play ove godine 600 miliona korisnika preuzelo malvere

Mobilni telefoni, 17.11.2023, 12:00 PM

Korisnici obično misle da je bezbedno instalirati aplikacije sa Google Play. To je zvanična prodavnica aplikacija za Android, i sve aplikacije prolaze proveru Google moderatora, zar ne?

Međutim, Google Play je dom za više od tri miliona aplikacija, od kojih se većina redovno ažurira, tako da detaljna i stalna provera svih aplikacija ne deluje kao nešto što bi mogla da sprovede čak ni jedna od najvećih svetskih korporacija.

Svesni ovoga, programeri zlonamernih aplikacija razvili su brojne tehnike koje im pomažu da bez mnogo problema objavljuju svoje kreacije na Google Play. Analiza slučajeva koji su privukli najviše pažnje ove godine a koju su sproveli istraživači kompanije Kaspersky, otkrila je da je broj preuzimanja zlonamernih aplikacija sa Google Play veći od 600 miliona.

Jedan od takvih slučajeva je onaj sa aplikacijom iRecorder. Ova neupadljiva aplikacija za snimanje ekrana za Android pametne telefone je objavljena na Google Play u septembru 2021. U avgustu 2022. godine, njeni programeri su dodali aplikaciji neke zlonamerne funkcije, tačnije, trojanca AhMyth, što je dovelo do toga da telefoni svih korisnika koji su instalirali aplikaciju snimaju zvuk sa mikrofona svakih 15 minuta i šalju ga na server programera aplikacije. Do trenutka kada su istraživači otkrili malver, u maju 2023., aplikacija iRecorder je preuzeta više od 50.000 puta.

Ovaj primer pokazuje jedan od načina na koji se zlonamerne aplikacije uvlače na Google Play. Sajber kriminalci najpre postavljaju bezopasnu aplikaciju u prodavnicu koja će proći sve provere. Zatim, kada aplikacija stekne publiku i neku reputaciju (što može da potraje mesecima ili čak godinama), dopunjuje se ažuriranjem zlonamernom funkcionalnošću.

Takođe u maju 2023., stručnjaci Kaspersky Laba su pronašli nekoliko aplikacija na Google Play zaraženih trojancem za prevare sa pretplatama Fleckpe. Do tada je već zabeleženo 620.000 instalacija. Sve ove aplikacije postavili su različiti programeri, a to je još jedna uobičajena taktika: sajber kriminalci kreiraju brojne naloge programera u prodavnici, tako da čak i ako neki budu blokirani od strane moderatora, mogu jednostavno da objave sličnu aplikaciju sa drugog naloga.

Kada se zaražena aplikacija pokrene, malver se povezuje sa serverom za komandu i kontrolu i prenosi informacije o zemlji i mobilnom operateru. Na osnovu ovih informacija, server daje uputstva šta dalje. Fleckpe zatim otvara veb stranice u prozoru pretraživača nevidljivom za korisnika i presreće kodove za potvrdu iz dolaznih obaveštenja, pretplaćuje korisnika na nepotrebne usluge koje se plaćaju preko mobilnog operatera.

U julu 2023. su na Google Play otkrivena dva fajl menadžera - jedan sa milion preuzimanja, drugi sa pola miliona. Uprkos uveravanjima programera da aplikacije ne prikupljaju nikakve podatke, istraživači su otkrili da su obe prenele mnogo korisničkih informacija na servere u Kini, uključujući kontakte, geolokaciju u realnom vremenu, podatke o modelu pametnog telefona i mobilnoj mreži, fotografije, audio i video fajlove i još mnogo toga.

Da bi izbegle deinstalaciju, zaražene aplikacije bi sakrile svoje ikone, što je još jedna uobičajena taktika koju koriste kreatori malvera za mobilne uređaje.

U avgustu 2023., istraživači su pronašli 43 aplikacije uključujući, između ostalog, TV/DMB Player, Music Downloader, News i Calendar, koje su krišom učitavale oglase kada je ekran pametnog telefona korisnika bio isključen.

Da bi mogle da obavljaju svoj posao u pozadini, aplikacije su zahtevale od korisnika da ih doda na listu izuzetaka za uštedu energije. Posledica toga je bilo kraće trajanje baterije. Ove aplikacije su imale ukupno 2,5 miliona preuzimanja, a ciljna publika je prvenstveno bila korejska.

Početkom 2023. otkriveno je još nekoliko sumnjivih aplikacija na Google Play sa više od 20 miliona preuzimanja. Predstavljene kao aplikacije koje prate zdravstvene navike, one su korisnicima obećavale novčane nagrade za šetnju i druge aktivnosti, kao i za gledanje reklama ili instaliranje drugih aplikacija.

Korisnici su za ove radnje dobijali bodove, koje bi onda navodno mogli da konvertuju u pravi novac. Jedini problem je bilo to što ste, da biste dobili nagradu, morali da sakupite ogroman broj poena tako da je to praktično bilo nemoguće.

U aprilu 2023, u zvaničnoj prodavnici Android aplikacija otkriveno je 38 kopija Minecrafta, sa ukupno 35 miliona preuzimanja. Unutar ovih aplikacija bio je skriven adware HiddenAds.

Kada bi zaražene aplikacije bile pokrenute, „prikazivale“ su skrivene oglase. To nije predstavljalo ozbiljnu pretnju samo po sebi, ali takvo ponašanje može uticati na performanse uređaja i trajanje baterije.

Međutim, zaražene aplikacije uvek kasnije mogu da budu pretvorene u nešto drugo. Ovo je još jedna standardna taktika programera zlonamernih aplikacija za Android: oni lako prelaze na druge vrste zlonamernih aktivnosti, u zavisnosti od toga šta je isplativo u tom trenutku.

Takođe u aprilu 2023. na Google Play je pronađeno još 60 aplikacija zaraženih reklamnim softverom koji su istraživači nazvali Goldoson. Ove aplikacije su zajedno imale više od 100 miliona preuzimanja na Google Play i još osam miliona u popularnoj korejskoj prodavnici ONE.

Ovaj malver je takođe „prikazivao“ skrivene oglase otvarajući veb stranice unutar aplikacije u pozadini. Pored toga, aplikacije su prikupljale korisničke podatke, uključujući informacije o instaliranim aplikacijama, geolokaciji, adresama uređaja povezanih sa pametnim telefonom preko Wi-Fi-a i Bluetootha i još mnogo toga.

Goldoson je ušao u sve ove aplikacije zajedno sa zaraženom bibliotekom koju koriste mnogi programeri koji jednostavno nisu bili svesni da ona sadrži malver. I ovo nije neuobičajena pojava: često kreatori malvera ne razvijaju i ne objavljuju sami aplikacije na Google Play, već umesto toga kreiraju zaražene biblioteke koje završavaju u prodavnici zajedno sa aplikacijama drugih programera.

Najveći incident u protekloj godini otkriven je u maju 2023. kada je tim istraživača kompanije Doctor Web pronašao 101 aplikaciju na Google Play, sa 421 miliona preuzimanja. U svakoj od njih bio je malver SpinOk.

Ubrzo nakon toga, drugi tim istraživača otkrio je još 92 aplikacije na Google Play zaražene istim maverom SpinOk, sa nešto manjim brojem preuzimanja - oko 30 miliona. Ovo je još jedan slučaj kada je opasan kod isporučen u aplikacije iz biblioteke treće strane.

Na prvi pogled, zadatak zaraženih aplikacija bio je da prikažu igre koje obećavaju novčane nagrade. Ali to nije bilo sve: SpinOK je u pozadini prikupljao i slao korisničke podatke i fajlove na server programera.

Naravno, ovo nisu svi slučajevi kada su zlonamerne aplikacije dospele na Google Play ove godine, već samo one najupečatljiviji.

Ipak, i to je dovoljno da se zaključi da su malveri na Google Play mnogo češći nego što mislimo, i da oni uspevaju da dođu do ogromnog broja uređaja.

Ipak, zvanične prodavnice i dalje su najsigurniji izvori aplikacija. Preuzimanje aplikacija na drugim mestima je daleko opasnije, pa se ne preporučuje. Ali i u zvaničnim prodavnicama moramo biti oprezni.

Svaki put kada poželite da preuzmete novu aplikaciju, pažljivo proverite njenu stranicu u prodavnici da biste se uverili da je originalna. Obratite posebnu pažnju na ime programera. Nije neobično da sajber kriminalci kopiraju popularne aplikacije i postavljaju ih na Google Play pod sličnim imenima, sa sličnim ikonama i opisima kako bi namamili korisnike.

Nemojte se rukovoditi ukupnom ocenom aplikacije, jer to se lako lažira. Pozitivne recenzije takođe nije teško lažirati. Umesto toga, fokusirajte se na negativne recenzije sa niskim ocenama - tu obično možete pronaći opis svih problema sa aplikacijom.

Foto: Mark Boss / Unsplash