Malver ExpensiveWall inficirao 4,2 miliona Android uređaja

Mobilni telefoni, 20.09.2017, 09:00 AM

Uprkos velikim Googleovima naporima, maliciozne aplikacije i dalje uspevaju da prevare zaštite od malvera i inficiraju Android uređaje.

To se još jednom dogodilo sa najmanje 50 malicioznih aplikacija koje su uspele da uđu u Play prodavnicu odakle su preuzete 4,2 miliona puta zbog čega je ovaj incident jedan od najtežih te vrste.

Firma Check Point objavila je prošle nedelje da je najmanje 50 malicioznih Android aplikacija preuzeto iz Play prodavnice između milion i 4,2 miliona puta, pre nego što ih je Google uklonio.

Ove aplikacije su sadržale skriveni malver koji je registrovao inficirane uređaje na komercijalne online servise, slao SMS poruke koje su naplaćivane po posebnoj, većoj tarifi, i sve to bez znanja i pristanka korisnika.

Malver sakriven u ovim aplikacijama nazvan je ExpensiveWall jer je pronađen u aplikaciji Lovely Wallpaper. On je bio sakriven u aplikacijama koje nude besplatne pozadine, ali i u aplikacijama za editovanje fotografija i videa. Ipak, ExpensiveWall nije sasvim nov malver, već je reč o novoj verziji malvera koji je ranije ove godine otkrila kompanija McAfee.

Ono po čemu se ExpensiveWall razlikuje od ranijih verzija malvera je tehnika "packed" koju koristi da bi izbegao anti-malver zaštitu Play prodavnice, a koja podrazumeva kompresiju i enkripciju malicioznog koda.

Google je o malicioznim aplikacijama u Play prodavnici obavešten 7. avgusta, posle čega su one ubrzo uklonjene iz prodavnice, ali posle nekoliko dana, malver se ponovo pojavio u Play prodavnici i inficirao više od 5000 uređaja. Četiri dana posle toga, malver je još jednom uklonjen iz prodavnice.

Kada se ExpensiveWall preuzme, maliciozna aplikacija traži od korisnika dozvolu za pristup internetu i slanje i prijem SMS poruka.

Malver koristi pristup internetu da bi povezao inficirani uređaj sa komandno-kontrolnim serverom kome šalje informacije o inficiranom uređaju, koje uključuju i lokaciju uređaja, jedinstvene identifikatore hardvera, kao što su MAC i IP adrese, IMSI i IMEI brojevi.

Server šalje malveru URL, koji se otvara u WebView prozoru da bi se prezeo JavaScript kod koji počinje da šalje SMS poruke i registruje telefon na servise zbog kojih će korisnik platiti veći račun.

Stručnjaci Check Pointa ne znaju da kažu koliko su kriminalci zaradili od ovih SMS poruka zahvaljujući ovom malveru.

Iako je Google uklonio malverom ExpensiveWall inficirane aplikacije, telefoni koji su već zaraženi ostaće zaraženi sve dok se ne uklone maliciozne aplikacije sa njih.

Google je nedavno predstavio bezbednosnu funkciju Play Protect koja koristi mašinsko učenje i analitiku upotrebe aplikacija za automatsko uklanjanje malicioznih aplikacija sa inficiranih uređaja. Međutim, mnogi Android telefoni imaju stariju verziju Androida koja ne podržava ovu funkciju zbog čega su mnogi i dalje nebezbedni.

Najbolji način za zaštitu je dobra antivirusna aplikacija koja može da otkrije i blokira maliciozne aplikacije pre nego što inficiraju uređaj. Ažuriranje operativnog sistema i svih aplikacija se podrazumeva.