billede-1-12

Android malware apps med 2 millioner installationer fundet på Google Play

Et nyt parti af femogtredive malware Android-apps, der viser uønskede reklamer, blev fundet i Google Play Butik, med apps installeret over 2 millioner gange på ofrenes mobile enheder.

Apps blev fundet af sikkerhedsforskere hos Bitdefender, der anvendte en adfærdsbaseret analysemetode i realtid til at opdage de potentielt ondsindede applikationer.

Efter standardtaktik lokker apps brugerne til at installere dem ved at foregive at tilbyde nogle specialiserede funktioner, men ændre deres navn og ikon umiddelbart efter installationen, hvilket gør dem vanskelige at finde og afinstallere.

Fra da af begynder de ondsindede apps at vise påtrængende reklamer til brugerne ved at misbruge WebView, generere falske visninger og annonceindtægter for deres operatører.

Derudover, fordi disse apps bruger deres egen ramme til at indlæse annoncerne, ville det sandsynligvis være muligt at slippe yderligere nyttelast på en kompromitteret enhed.

Malware installeres senere via opdateringer

Som Bitdefender forklarer i rapporten, implementerer adware-apps flere metoder til at skjule på Android og modtager endda senere opdateringer for at gøre det lettere at skjule på enheder.

Efter installationen antager apps typisk et tandhjulsikon og omdøber sig selv til ‘Indstillinger’ for at undgå detektion og sletning.

Hvis brugeren klikker på ikonet, starter appen malware-appen med en 0-størrelse for at skjule den. Malwaren starter derefter den legitime menu Indstillinger for at narre brugerne til at tro, at de lancerede den rigtige app.

  • Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
  • Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
  • Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
  • Engine Wallpapers (gb.helectronsoftforty.comlivefour)
  • Stock Wallpapers (gb.fiftysubstantiated.wallsfour)
  • EffectMania – Photo Editor 2.0 (gb.actualfifty.sevenelegantvideo)
  • Art Filter – Deep Photoeffect 2.0 (gb.crediblefifty.editconvincingeight)
  • Fast Emoji Keyboard APK (de.eightylamocenko.editioneights)
  • Create Sticker for Whatsapp 2.0 (gb.convincingmomentumeightyverified.realgamequicksix)
  • Math Solver – Camera Helper 2.0 (gb.labcamerathirty.mathcamera)
  • Photopix Effects – Art Filter 2.0 (gb.mega.sixtyeffectcameravideo)
  • Led Theme – Colorful Keyboard 2.0 (gb.theme.twentythreetheme)
  • Animated Sticker Master 1.0 (am.asm.master)
  • Sleep Sounds 1.0 (com.voice.sleep.sounds)
  • Personality Charging Show 1.0 (com.charging.show)
  • Image Warp Camera
  • GPS Location Finder (smart.ggps.lockakt)

billede-1-13

Funktion til at starte systemindstillinger (Kilde: Bitdefender)

I nogle tilfælde antager apps udseendet af Motorola-, Oppo- eller Samsung-systemapps.

De ondsindede apps har også tung kodesløring og kryptering for at forhindre reverse engineering-bestræbelser og skjule den vigtigste Java-nyttelast inde i to krypterede DEX-filer.

En anden metode for apps til at skjule sig for brugeren er at udelukke sig selv fra listen ‘Seneste apps’, så selvom de kører i baggrunden, afslører eksponering af aktive processer dem ikke.

Populære apps, der viser annoncer

De 35 ondsindede Android-applikationer har downloadtællinger, der spænder fra 10,000 til 100,000, i alt over to millioner downloads.

De mest populære af disse, der har 100.000 downloads hver, er følgende:

billede-1-11

Af ovenstående er ‘Walls light – Wallpapers Pack’, ‘Animated Sticker Master’ og ‘GPS Location Finder’ stadig tilgængelige i Play Butik, når du skriver denne artikel.

Bleeping Computer har kontaktet Google om sagen, og vi opdaterer dette indlæg, så snart vi modtager et svar.

Resten af de anførte apps er tilgængelige i flere tredjeparts appbutikker som APKSOS, APKAIO, APKCombo, APKPure og APKsfull, men de præsenterede downloadtællinger er fra deres tid i Play Butik.

Når det er sagt, hvis du tidligere har installeret nogen af disse apps, skal du straks finde og fjerne dem fra din enhed og derefter scanne for malware/ransomware ogsp gerne udefra via en PENTEST.

Fordi apps maskerer sig selv som Indstillinger, kan det være nyttigt at køre et mobilt AV-værktøj til at finde og fjerne dem i dette tilfælde.

Kilde: Bleebing Computer, ICARE
Fotokredit: Thomas Aller og Bleebing Computer

Scroll til toppen