Kopija popularne aplikacije Dubsmash pronađena u Google Play prodavnici

Mobilni telefoni, 28.04.2015, 08:20 AM

Trenutno na sedmom mestu na listi najpopularnijih aplikacija na Google Play, aplikacija Dubsmash je privukla pažnju i autora malvera. Dubsmash je aplikacija koja je do sada preuzeta između 10 i 50 miliona puta sa Google Play. Reč je o aplikaciji za video selfije koje uz nekoliko klikova možete da učinite zabavnim, dodajući svojim kratkim video snimcima muziku, poznatu repliku iz nekog filma ili neki drugi zvuk. Dubsmash koriste poznate ličnosti kao što su Riz Viterspun, Sofia Vergara i Hju Džekmen, ali je ona posebno popularna među tinejdžerima.

Istraživači iz kompanije Avast nedavno su pronašli aplikaciju “Dubsmash 2” u Googleovoj Play prodavnici. Međutim, Dubsmash 2 nije bolja verzija originalne aplikacije. Aplikacija je instalirana između 100000 i 500000 puta, a reč je o lažnoj aplikaciji koja je uklonjena iz Play prodavnice aplikacija ubrzo pošto je Avast o svom otkriću obavestio Google.

Kada se lažna aplikacija instalira, na uređaju nema aplikacije pod imenom “Dubsmash”. Umesto ovog, instalirana aplikacija ima ikonu nazvanu “Settings IS”.

To je uobičajeni trik koji koriste autori malvera da otežaju korisnicima da ustanove koja aplikacija uzrokuje probleme na njihovim uređajima. Međutim, korisniku bi trebalo da bude sumnjivo to što ikona “Settings IS” izgleda veoma slično kao i ikona“Settings”.

Maliciozne aktivnosti aplikacije mogu da budu pokrenute na dva načina. Prvi mogući način je jednostavno pokretanje “Settings IS”. Ako korisnik još uvek nije pokrenuo aplikaciju, druga mogućnost je da se maliciozne aktivnosti pokrenu preko BroadcastReceiver komponente unutar aplikacije. BroadcastReceiver nagleda da li je uređaj povezan sa internetom, i ako je to slučaj, to će biti okidač za maliciozne aktivnosti aplikacije. Ako otkrije vezu sa internetom, Dubshmash se automatski pokreće. Sledeći korak je kontaktiranje kriptovanog URL-a da bi aplikacija dobila dozvole za otpočinjanje svojih aktivnosti. Ako dobije odgovor koji sadrži karakter “1”, počinju da rade dva servisa: MyService i Streaming. Na ovaj način, kriminalci mogu i isključiti ove servise daljinski.

MyService briše ikonu aplikacije “Settings IS” iz glavnog menija uređaja i istovremeno on je odgovoran za zakazivanje zadatka koji se obavlja u pozadini svakih 60 sekundi, tako da korisnik nikada neće primetiti da se nešto dešava. Taj zadatak podrazumeva preuzimanje spiska linkova za različite porno sajtove iz šifrovanog URL-a koji se nalazi unutar aplikacije, zajedno sa JavaScript izvršnim kodom. Jedan od tih linkova za porno sajtove sa spiska će biti otvoren u browseru i posle deset sekundi će se pokrenuti JavaScript kod takođe preuzet iz šifrovanog URL-a, klikćući dalje na linkove na porno sajtu.

Streaming servis takođe je zadužen za zadatak koji se izvršava svakih 60 sekundi. Jedina razlika je što se zadaci ovog servisa ne izvršavaju krišom, tako da će ih korisnik primetiti. Servis proverava promene IP adrese ili datuma na uređaju. Ako se nešto od toga promeni, pokreće se video u YouTube aplikaciji uređaja, pod uslovom da je ona instalirana. Adresa videa se takođe dobija iz šifrovanog URL-a.

Istraživači iz Avasta su posle analize URL-ova i videa sa YouTube zaključili da je malver najverovatnije poreklom iz Turske. Autor aplikacije najverovatnije zarađuje od klikova na reklame na porno sajtovima. On zarađuje po kliku od oglašivača koji veruju da se njihove reklame prikazuju na web sajtovima koje ljudi zaista posećuju.

Ako ste instalirali aplikaciju Dubsmash 2 (“com.table.hockes”), možete je obrisati iz Settings -> Apps -> nađite “Settings IS” i deinstalirajte aplikaciju.