Malver u lažnim Minecraft modovima u Google Play prodavnici

Mobilni telefoni, 11.06.2021, 10:30 AM

U novembru prošle godine Google je iz Play prodavnice uklonio 20 aplikacija koje su prijavili istraživači kompanije Kaspersky, a koje su predstavljane kao Minecraft mod-paketi. Do dana kada su aplikacije uklonjene, najpopularnije među njima imale su više od milion preuzimanja. Pola godine kasnije, Kaspersky Lab je ponovo prijavio slične zlonamerne aplikacije koje su istraživači kompanije primetili u Play prodavnici. Umesto da rade ono što se očekuje od njih, aplikacije su pametne telefone i tablete korisnika pretvorile u alate za oglašavanje.

Aplikacije su iz korisničke perspektive potpuno beskorisne. Nakon prvog pokretanja sakrivaju svoje ikone i iznova i iznova otvaraju pregledač da bi prikazale oglase. Takođe su mogle da puštaju video snimke sa YouTubea, otvaraju stranice aplikacija na Google Play i još mnogo toga. Jedna od aplikacija koje su analizirali istraživači, na primer, otvarala je pregledač na svaka dva minuta, čineći uređaj neupotrebljivim. Posebno otežavajuće je to što je korisniku teško da shvati šta se događa, koja je aplikacija odgovorna za probleme i kako to zaustaviti.

Kaspersky je obavestio Google o ovome i zlonamerne aplikacije su brzo uklonjene iz prodavnice.

Međutim, uklanjanje aplikacija iz Googleove prodavnice ne mora nužno da znači pobedu nad zlonamernim softverom. Oni koji prave ovakve aplikacije jednostavno postavljaju nove, malo izmenjene verzije koristeći druge nazive za aplikacije i druga imena programera.

Jedan od primera takve prakse je trojanac VK Music, koji je krao VK korisničke naloge i, uprkos prijavljivanju, nekoliko godina se neprestano pojavljivao u Play prodavnici.

Imajući to u vidu, istraživači kompanije Kaspersky su sada ponovo pregledali Google Play tražeći Minecraft modove kako bi proverili da li je izveštaj koji su poslali Googleu u novembru prošle godine zauvek oslobodio Play prodavnicu takvih aplikacija.

Najpre su pronašli nekoliko aplikacija koje koriste opisani pristup, ali sa određenim poboljšanjima. Aplikacije prihvataju naredbe push poruka od napadača za prikazivanje oglasa na celom ekranu (nije potrebna korisnička interakcija). Aplikacije su dizajnirane da preuzmu i dodatni modul. Kada se taj modul preuzme, postaje dostupno više funkcija, što omogućava aplikacijama da sakriju svoje ikone, pokreću pregledač, puštaju YouTube video snimke, otvaraju stranice aplikacija na Google Play itd.

Ovoga puta, lista zlonamernih aplikacija koje su istraživači prijavili Googleu, pored Minecraft modova sadržala je i program za oporavak fajlova pod nazivom File Recovery - Recover Deleted Files. Verzija 1.1.0 dostupna na Google Play od februara 2021. godine sadržala je maliciozni kod. Ta verzija je uklonjena, a verzija 1.1.1, koja je sada na Google Play, je bezbedna.

Istraživači su pronašli nekoliko Minecraft modova sa osnovnom funkcionalnošću i konfiguracijom u kojoj aplikacije povremeno prikazuju oglase na celom ekranu, čak i kada je aplikacija neaktivna, ali nisu u stanju da sakriju svoje ikone ili pokrenu pregledač, YouTube ili Google Play. Za dodatnu monetizaciju koristi se funkcija kupovine u aplikaciji.

Zanimljivo je da je jedna od aplikacija sada dostupna u prodavnici kao „osnovna“ verzija i sa omogućenim kupovinama u aplikaciji, dok je pre nekoliko meseci imala dodatni modul za preuzimanje. Iz ovoga su istraživači zaključili da programeri ovakvih aplikacija eksperimentišu sa opcijama monetizacije.

Mnoge ovakve aplikacije ostaju dostupne u alternativnim prodavnicama i nakon što ih Google ukloni iz svoje prodavnice. Što nije iznenađenje - čak i Google, sa znatno više resursa od prosečne kompanije, ne može da kontroliše u potpunosti ogroman broj postojećih aplikacija. Ali činjenica da su zlonamerne aplikacije često dostupne u alternativnim prodavnicama i posle uklanjanja iz Googleove prodavnice, znači da ove alternativne prodavnice aplikacija nisu sigurno mesto. Ako ipak iz nekih svojih razloga želite aplikacije baš iz takvih prodavnica, preporuka je da bar instalirate pouzdani mobilni antivirus kako biste se zaštitili od opasnih aplikacija.

Šta više, iz ove priče, ali i iz mnogih drugih epizoda kada su malveri pronađeni u zvaničnoj Googleovoj prodavnici aplikacija, jasno je da čak i ako aplikacije preuzimate samo sa Google Play, bezbednije je da to radite sa antivirusom na pametnom telefonu.