Kopija popularne aplikacije Dubsmash pronađena u Google Play prodavnici

Mobilni telefoni, 28.04.2015, 08:20 AM

Kopija popularne aplikacije Dubsmash pronađena u Google Play prodavnici

Trenutno na sedmom mestu na listi najpopularnijih aplikacija na Google Play, aplikacija Dubsmash je privukla pažnju i autora malvera. Dubsmash je aplikacija koja je do sada preuzeta između 10 i 50 miliona puta sa Google Play. Reč je o aplikaciji za video selfije koje uz nekoliko klikova možete da učinite zabavnim, dodajući svojim kratkim video snimcima muziku, poznatu repliku iz nekog filma ili neki drugi zvuk. Dubsmash koriste poznate ličnosti kao što su Riz Viterspun, Sofia Vergara i Hju Džekmen, ali je ona posebno popularna među tinejdžerima.

Istraživači iz kompanije Avast nedavno su pronašli aplikaciju “Dubsmash 2” u Googleovoj Play prodavnici. Međutim, Dubsmash 2 nije bolja verzija originalne aplikacije. Aplikacija je instalirana između 100000 i 500000 puta, a reč je o lažnoj aplikaciji koja je uklonjena iz Play prodavnice aplikacija ubrzo pošto je Avast o svom otkriću obavestio Google.

Kada se lažna aplikacija instalira, na uređaju nema aplikacije pod imenom “Dubsmash”. Umesto ovog, instalirana aplikacija ima ikonu nazvanu “Settings IS”.

To je uobičajeni trik koji koriste autori malvera da otežaju korisnicima da ustanove koja aplikacija uzrokuje probleme na njihovim uređajima. Međutim, korisniku bi trebalo da bude sumnjivo to što ikona “Settings IS” izgleda veoma slično kao i ikona“Settings”.

Maliciozne aktivnosti aplikacije mogu da budu pokrenute na dva načina. Prvi mogući način je jednostavno pokretanje “Settings IS”. Ako korisnik još uvek nije pokrenuo aplikaciju, druga mogućnost je da se maliciozne aktivnosti pokrenu preko BroadcastReceiver komponente unutar aplikacije. BroadcastReceiver nagleda da li je uređaj povezan sa internetom, i ako je to slučaj, to će biti okidač za maliciozne aktivnosti aplikacije. Ako otkrije vezu sa internetom, Dubshmash se automatski pokreće. Sledeći korak je kontaktiranje kriptovanog URL-a da bi aplikacija dobila dozvole za otpočinjanje svojih aktivnosti. Ako dobije odgovor koji sadrži karakter “1”, počinju da rade dva servisa: MyService i Streaming. Na ovaj način, kriminalci mogu i isključiti ove servise daljinski.

MyService briše ikonu aplikacije “Settings IS” iz glavnog menija uređaja i istovremeno on je odgovoran za zakazivanje zadatka koji se obavlja u pozadini svakih 60 sekundi, tako da korisnik nikada neće primetiti da se nešto dešava. Taj zadatak podrazumeva preuzimanje spiska linkova za različite porno sajtove iz šifrovanog URL-a koji se nalazi unutar aplikacije, zajedno sa JavaScript izvršnim kodom. Jedan od tih linkova za porno sajtove sa spiska će biti otvoren u browseru i posle deset sekundi će se pokrenuti JavaScript kod takođe preuzet iz šifrovanog URL-a, klikćući dalje na linkove na porno sajtu.

Streaming servis takođe je zadužen za zadatak koji se izvršava svakih 60 sekundi. Jedina razlika je što se zadaci ovog servisa ne izvršavaju krišom, tako da će ih korisnik primetiti. Servis proverava promene IP adrese ili datuma na uređaju. Ako se nešto od toga promeni, pokreće se video u YouTube aplikaciji uređaja, pod uslovom da je ona instalirana. Adresa videa se takođe dobija iz šifrovanog URL-a.

Istraživači iz Avasta su posle analize URL-ova i videa sa YouTube zaključili da je malver najverovatnije poreklom iz Turske. Autor aplikacije najverovatnije zarađuje od klikova na reklame na porno sajtovima. On zarađuje po kliku od oglašivača koji veruju da se njihove reklame prikazuju na web sajtovima koje ljudi zaista posećuju.

Ako ste instalirali aplikaciju Dubsmash 2 (“com.table.hockes”), možete je obrisati iz Settings -> Apps -> nađite “Settings IS” i deinstalirajte aplikaciju.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Samsung zakrpio kritičnu ranjivost koju su hakeri koristili za napade na Android uređaje

Samsung zakrpio kritičnu ranjivost koju su hakeri koristili za napade na Android uređaje

Samsung je objavio zakrpu za ozbiljnu bezbednosnu ranjivost (CVE-2025-21043) koju su, prema izveštajima, hakeri već koristili u napadima na Android ... Dalje

RatOn: Android trojanac nove generacije krade novac i kriptovalute i zaključava zaražene uređaje

RatOn: Android trojanac nove generacije krade novac i kriptovalute i zaključava zaražene uređaje

Istraživači iz ThreatFabric-a upozoravaju na novi Android malver nazvan RatOn, koji je od jednostavnog alata za NFC relay napade evoluirao u sofisti... Dalje

Malver Brokewell u oglasima na Facebooku, ugroženi korisnici Androida

Malver Brokewell u oglasima na Facebooku, ugroženi korisnici Androida

Istraživači iz Bitdefender Labsa upozorili su na lažne oglase na Facebooku preko kojih se širi Brokewell spyware koji od korisnika Androida krade ... Dalje

Hook 3.0: najopasniji Android malver ikada

Hook 3.0: najopasniji Android malver ikada

Istraživači iz Zimperium Labs-a otkrili su novu verziju Android malvera HOOK, koja ima čak 107 funkcija što ga svrstava među najopasnije mobilne ... Dalje

Zaraženi milioni Android uređaja: malveri u Google Play aplikacijama

Zaraženi milioni Android uređaja: malveri u Google Play aplikacijama

U Google Play prodavnici aplikacija pronađeno je čak 77 malicioznih Android aplikacija koje su do sada preuzete više od 19 miliona puta. Istraživa... Dalje