Google Play: milliószámra fertőzött egy reklámprogram

Nem elég, hogy több mint egy évig fertőzte az androidos készülékeket, még most sem sikerült teljesen kiirtani azt a reklámprogramot, amely több millió felhasználónak okozott bosszúságot.
 
hirdetés
A Google Play webáruház védelme ismét nem úgy teljesített, ahogy az elvárható lett volna. Kiderült ugyanis, hogy legalább egy éven keresztül egy GhostClicker nevű reklámprogram teljesen szabadon terjedt a hivatalos áruházban, és nem kevesebb mint 340 alkalmazásba férkőzött be. Mindezt úgy, hogy a biztonsági kutatóknak csak az elmúlt napokban szúrt szemet a károkozó.
 
Elsőként a Trend Micro szakembereinek tűnt fel a GhostClicker, amit aztán jeleztek is a Google-nek. Amikor azonban a biztonsági cég megkongatta a vészharangot, akkor a 340 fertőzött appból több mint 100 még mindig elérhető volt a Playen. Az eddigi vizsgálatok szerint a legtöbb fertőzés az ázsiai országokban következett be, de valójában globális problémáról van szó. Oly annyira, hogy csak az egyik fertőzött alkalmazásból több mint ötmillió példányt töltöttek le a felhasználók, mire kiderült, hogy gond van.
 
A GhostClicker alapvetően két technikának köszönheti azt, hogy egy éven keresztül rejtve tudott maradni. Egyrészt teljesen legális, jól ismert komponensekből épült fel. Így például a Google Mobile Services (GMS) API-t és a Facebook Ad's SDK-t használta a hirdetések kezeléséhez. Másrészt pedig különféle anti-sandbox módszereket vetett be, hogy megkerülje a Google Play védelmi mechanizmusait. Megvizsgálta például az eszköz típusát (user-agentet), és ha a visszakapott értékben szerepelt a "nexus" kulcsszó, akkor nem végzett semmiféle káros műveletet. A "nexus" szó azért fontos, mert a Play leginkább Nexus emulációval végzi az ellenőrzéseket. Mindenesetre ez elég volt ahhoz, hogy a GhostClicker szó nélkül kikerüljön 340 példányban a Playre.


Egy fertőzött app - Forrás: Trend Micro
 
Bosszantó szerzemény
 
A reklámprogram a készülékeken azért már nem annyira észrevétlenül működik. Időközönként ugyanis reklámokat jelenít meg kitakarva ezzel a felhasználó által éppen futtatott alkalmazást. Ez pedig igencsak bosszantó tud lenni. Ilyenkor nem egyszer olyan hirdetések bukkannak fel, amelyek például YouTube videókra mutatnak, vagy egyéb Play Store-ban lévő alkalmazások telepítésére ösztökélnek. Ekkor nem elképzelhetetlen az sem, hogy további káros, nemkívánatos appok kerülnek fel a készülékre.
 
Egy jó hír is akad
 
A Trend Micro jelezte, hogy az eddigi GhostClicker variánsok esetében nem voltak kimutathatók olyan összetevők, illetve funkciók, amelyek arra utaltak volna, hogy a kártevő bizalmas adatokat is képes lenne kiszivárogtatni. Most úgy tűnik, hogy az egyetlen célja a hirdetések megjelenítésében merül ki. 
Vélemények
 
  1. 3

    Az RSA Authentication Manager sérülékenysége XSS-alapú támadásokban juthat szerephez.

  2. 4

    Az Intel több olyan sebezhetőségről számolt be, amelyek az Intel Management Engine-t érintik.

  3. 4

    A Samba fejlesztői két biztonsági rést foltoztak be.

 
Partnerhírek
​Szaporodnak az androidos kártevők

Ebben az évben az új androidos kártevők száma eléri a 3,5 milliót. Mivel az Android a legelterjedtebb mobil operációs rendszer, a vírusok az okostelefonok háromnegyed részét veszélyeztetik.

​Miért nem elég a titkosítás?

Az adathordozók leselejtezésekor még a titkosított merevlemezeket is fertőtlenítsük felülírással, ha nem szeretnénk, hogy adataink illetlenek kezébe kerüljenek.

hirdetés
Közösség
1