Kopija popularne aplikacije Dubsmash pronađena u Google Play prodavnici

Mobilni telefoni, 28.04.2015, 08:20 AM

Kopija popularne aplikacije Dubsmash pronađena u Google Play prodavnici

Trenutno na sedmom mestu na listi najpopularnijih aplikacija na Google Play, aplikacija Dubsmash je privukla pažnju i autora malvera. Dubsmash je aplikacija koja je do sada preuzeta između 10 i 50 miliona puta sa Google Play. Reč je o aplikaciji za video selfije koje uz nekoliko klikova možete da učinite zabavnim, dodajući svojim kratkim video snimcima muziku, poznatu repliku iz nekog filma ili neki drugi zvuk. Dubsmash koriste poznate ličnosti kao što su Riz Viterspun, Sofia Vergara i Hju Džekmen, ali je ona posebno popularna među tinejdžerima.

Istraživači iz kompanije Avast nedavno su pronašli aplikaciju “Dubsmash 2” u Googleovoj Play prodavnici. Međutim, Dubsmash 2 nije bolja verzija originalne aplikacije. Aplikacija je instalirana između 100000 i 500000 puta, a reč je o lažnoj aplikaciji koja je uklonjena iz Play prodavnice aplikacija ubrzo pošto je Avast o svom otkriću obavestio Google.

Kada se lažna aplikacija instalira, na uređaju nema aplikacije pod imenom “Dubsmash”. Umesto ovog, instalirana aplikacija ima ikonu nazvanu “Settings IS”.

To je uobičajeni trik koji koriste autori malvera da otežaju korisnicima da ustanove koja aplikacija uzrokuje probleme na njihovim uređajima. Međutim, korisniku bi trebalo da bude sumnjivo to što ikona “Settings IS” izgleda veoma slično kao i ikona“Settings”.

Maliciozne aktivnosti aplikacije mogu da budu pokrenute na dva načina. Prvi mogući način je jednostavno pokretanje “Settings IS”. Ako korisnik još uvek nije pokrenuo aplikaciju, druga mogućnost je da se maliciozne aktivnosti pokrenu preko BroadcastReceiver komponente unutar aplikacije. BroadcastReceiver nagleda da li je uređaj povezan sa internetom, i ako je to slučaj, to će biti okidač za maliciozne aktivnosti aplikacije. Ako otkrije vezu sa internetom, Dubshmash se automatski pokreće. Sledeći korak je kontaktiranje kriptovanog URL-a da bi aplikacija dobila dozvole za otpočinjanje svojih aktivnosti. Ako dobije odgovor koji sadrži karakter “1”, počinju da rade dva servisa: MyService i Streaming. Na ovaj način, kriminalci mogu i isključiti ove servise daljinski.

MyService briše ikonu aplikacije “Settings IS” iz glavnog menija uređaja i istovremeno on je odgovoran za zakazivanje zadatka koji se obavlja u pozadini svakih 60 sekundi, tako da korisnik nikada neće primetiti da se nešto dešava. Taj zadatak podrazumeva preuzimanje spiska linkova za različite porno sajtove iz šifrovanog URL-a koji se nalazi unutar aplikacije, zajedno sa JavaScript izvršnim kodom. Jedan od tih linkova za porno sajtove sa spiska će biti otvoren u browseru i posle deset sekundi će se pokrenuti JavaScript kod takođe preuzet iz šifrovanog URL-a, klikćući dalje na linkove na porno sajtu.

Streaming servis takođe je zadužen za zadatak koji se izvršava svakih 60 sekundi. Jedina razlika je što se zadaci ovog servisa ne izvršavaju krišom, tako da će ih korisnik primetiti. Servis proverava promene IP adrese ili datuma na uređaju. Ako se nešto od toga promeni, pokreće se video u YouTube aplikaciji uređaja, pod uslovom da je ona instalirana. Adresa videa se takođe dobija iz šifrovanog URL-a.

Istraživači iz Avasta su posle analize URL-ova i videa sa YouTube zaključili da je malver najverovatnije poreklom iz Turske. Autor aplikacije najverovatnije zarađuje od klikova na reklame na porno sajtovima. On zarađuje po kliku od oglašivača koji veruju da se njihove reklame prikazuju na web sajtovima koje ljudi zaista posećuju.

Ako ste instalirali aplikaciju Dubsmash 2 (“com.table.hockes”), možete je obrisati iz Settings -> Apps -> nađite “Settings IS” i deinstalirajte aplikaciju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver LightSpy inficira iPhone, evo kako se zaštititi od njega

Malver LightSpy inficira iPhone, evo kako se zaštititi od njega

U januaru ove godine, stručnjaci Kaspersky Laba su primetili tzv. “watering-hole” napade većih razmera na stanovnike Hong Konga, u kojim... Dalje

Više od 50 aplikacija za decu iz Play prodavnice korišćeno za prevaru sa oglasima

Više od 50 aplikacija za decu iz Play prodavnice korišćeno za prevaru sa oglasima

Više od 50 Android aplikacija u Google Play prodavnici koje zajedno imaju skoro milion preuzimanja a od kojih je većina namenjena deci, uhvaćene ... Dalje

Vlasti širom sveta sve više koriste podatke mobilnih telefona za praćenje epidemije COVID-19

Vlasti širom sveta sve više koriste podatke mobilnih telefona za praćenje epidemije COVID-19

Kako se novi korona virus i dalje širi svetom, sve je više vlada koje se oslanjaju na podatke mobilnih operatera kako bi pratile sve, od pacijenata ... Dalje

Izrael ima aplikaciju koja prati da li ste bili izloženi korona virusu

Izrael ima aplikaciju koja prati da li ste bili izloženi korona virusu

Izraelsko ministarstvo zdravlja objavilo je mobilnu aplikaciju pod nazivom „Štit“ koja će upozoravati korisnike ako su bili u isto vrem... Dalje

Korisnicima Googleove napredne zaštite više neće biti dozvoljeno instaliranje aplikacija koje nisu u Play prodavnici

Korisnicima Googleove napredne zaštite više neće biti dozvoljeno instaliranje aplikacija koje nisu u Play prodavnici

Google je juče najavio da proširuje zaštitu koju nudi korisnicima Androida koji su uključeni u kompanijski Program napredne zaštite (Advanced Pro... Dalje