55 millió androidos készülék fertőződhetett meg

Több mint 50 androidos mobil app lehet fertőzött olyan reklámozásra és adatlopásra alkalmas összetevőkkel, amelyek nemcsak bosszúságot tudnak okozni, hanem károkat is.
 

A Sophos kutatói annak jártak utána, hogy egyes túlbuzgón reklámozó alkalmazások háttérében milyen komponensek húzódnak meg. Eddig több mint 50 appról derült ki, hogy tartalmazzák az Android XavirAd összetevőt, illetve az Infostl-BK nevű adatlopó modult. Ezek pedig összességében olyan műveleteket hajthatnak végre az érintett készülékeken, amiket a felhasználók nem hagytak jóvá.
 
Az ügy azért is kapott nagy nyilvánosságot, mert a biztonsági kutatók számításai szerint akár 55 millió készülékre is felkerülhettek a szóban forgó alkalmazások, és mind a mai napig működőképesek.
 
A vizsgálatok során a szakemberek kiemeltek néhány programot, amelyeket alaposabban is górcső alá vettek. Ezek közé tartozik egyebek mellett az "Add Text on A Photo" nevű alkalmazás. Ez a szoftver rendszeres időközönként teljes képernyős hirdetéseket tár a felhasználó elé. A problémát azonban nemcsak ez jelenti. Aggasztóbb, hogy az appban lévő XavirAd összetevő a szoftver elindításakor csatlakozik egy távoli kiszolgálóhoz, amelyről különféle kódokat tölt le a reklámok megjelenítésével kapcsolatban. (A vezérlőszerverhez tartozó domain nevet másfél évvel ezelőtt jegyezték be Vietnámban.)  
Amikor a kódokat beszerezte a problémás komponens, akkor egy .dex fájl letöltésére kerül sor, és a háttérben kezdetét veszi az adatgyűjtés. Ez egyebek mellett a következőket érinti:
- telepített alkalmazások listája
- IMEI azonosító
- a készülék gyártója, típusa
- az operációs rendszer verziója
- a SIM-kártya legfontosabb paraméterei
- képernyőfelbontás.
 
A fenti adatokat a szoftverek titkosítják, és feltöltik egy webszerverre.
 
A Sophos kutatói arra is felhívták a figyelmet, hogy a XavirAdot használó alkalmazások készítői nagyon igyekeznek leplezni a ténykedésüket. Erre utal, hogy titkosított karaktersorozatokat használnak a kódjaikban, és olykor a komponensekhez tartozó osztályokat is titkosítják különféle kulcsokkal. Emellett anti-sandbox megoldásokat is beépítenek az appokba, amelyek a dinamikus elemzéseket nehezítik. Figyelik, hogy az adott app emulátorban fut-e, és ha aggályos környezeti jellemzőket vélnek felfedezni, akkor rögtön leállítják a nemkívánatos műveletek végrehajtását.
 
Az érintett alkalmazások egy része a cikk írásakor még elérhető volt a Google Playen. A Google vélhetőleg még vizsgálja, hogy a szóban forgó szoftverek valóban ártalmasak-e, illetve, hogy megfelelnek-e a Play áruház szabályainak.