Kopija popularne aplikacije Dubsmash pronađena u Google Play prodavnici

Mobilni telefoni, 28.04.2015, 08:20 AM

Kopija popularne aplikacije Dubsmash pronađena u Google Play prodavnici

Trenutno na sedmom mestu na listi najpopularnijih aplikacija na Google Play, aplikacija Dubsmash je privukla pažnju i autora malvera. Dubsmash je aplikacija koja je do sada preuzeta između 10 i 50 miliona puta sa Google Play. Reč je o aplikaciji za video selfije koje uz nekoliko klikova možete da učinite zabavnim, dodajući svojim kratkim video snimcima muziku, poznatu repliku iz nekog filma ili neki drugi zvuk. Dubsmash koriste poznate ličnosti kao što su Riz Viterspun, Sofia Vergara i Hju Džekmen, ali je ona posebno popularna među tinejdžerima.

Istraživači iz kompanije Avast nedavno su pronašli aplikaciju “Dubsmash 2” u Googleovoj Play prodavnici. Međutim, Dubsmash 2 nije bolja verzija originalne aplikacije. Aplikacija je instalirana između 100000 i 500000 puta, a reč je o lažnoj aplikaciji koja je uklonjena iz Play prodavnice aplikacija ubrzo pošto je Avast o svom otkriću obavestio Google.

Kada se lažna aplikacija instalira, na uređaju nema aplikacije pod imenom “Dubsmash”. Umesto ovog, instalirana aplikacija ima ikonu nazvanu “Settings IS”.

To je uobičajeni trik koji koriste autori malvera da otežaju korisnicima da ustanove koja aplikacija uzrokuje probleme na njihovim uređajima. Međutim, korisniku bi trebalo da bude sumnjivo to što ikona “Settings IS” izgleda veoma slično kao i ikona“Settings”.

Maliciozne aktivnosti aplikacije mogu da budu pokrenute na dva načina. Prvi mogući način je jednostavno pokretanje “Settings IS”. Ako korisnik još uvek nije pokrenuo aplikaciju, druga mogućnost je da se maliciozne aktivnosti pokrenu preko BroadcastReceiver komponente unutar aplikacije. BroadcastReceiver nagleda da li je uređaj povezan sa internetom, i ako je to slučaj, to će biti okidač za maliciozne aktivnosti aplikacije. Ako otkrije vezu sa internetom, Dubshmash se automatski pokreće. Sledeći korak je kontaktiranje kriptovanog URL-a da bi aplikacija dobila dozvole za otpočinjanje svojih aktivnosti. Ako dobije odgovor koji sadrži karakter “1”, počinju da rade dva servisa: MyService i Streaming. Na ovaj način, kriminalci mogu i isključiti ove servise daljinski.

MyService briše ikonu aplikacije “Settings IS” iz glavnog menija uređaja i istovremeno on je odgovoran za zakazivanje zadatka koji se obavlja u pozadini svakih 60 sekundi, tako da korisnik nikada neće primetiti da se nešto dešava. Taj zadatak podrazumeva preuzimanje spiska linkova za različite porno sajtove iz šifrovanog URL-a koji se nalazi unutar aplikacije, zajedno sa JavaScript izvršnim kodom. Jedan od tih linkova za porno sajtove sa spiska će biti otvoren u browseru i posle deset sekundi će se pokrenuti JavaScript kod takođe preuzet iz šifrovanog URL-a, klikćući dalje na linkove na porno sajtu.

Streaming servis takođe je zadužen za zadatak koji se izvršava svakih 60 sekundi. Jedina razlika je što se zadaci ovog servisa ne izvršavaju krišom, tako da će ih korisnik primetiti. Servis proverava promene IP adrese ili datuma na uređaju. Ako se nešto od toga promeni, pokreće se video u YouTube aplikaciji uređaja, pod uslovom da je ona instalirana. Adresa videa se takođe dobija iz šifrovanog URL-a.

Istraživači iz Avasta su posle analize URL-ova i videa sa YouTube zaključili da je malver najverovatnije poreklom iz Turske. Autor aplikacije najverovatnije zarađuje od klikova na reklame na porno sajtovima. On zarađuje po kliku od oglašivača koji veruju da se njihove reklame prikazuju na web sajtovima koje ljudi zaista posećuju.

Ako ste instalirali aplikaciju Dubsmash 2 (“com.table.hockes”), možete je obrisati iz Settings -> Apps -> nađite “Settings IS” i deinstalirajte aplikaciju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje