Google Play: milliószámra fertőzött egy reklámprogram

Nem elég, hogy több mint egy évig fertőzte az androidos készülékeket, még most sem sikerült teljesen kiirtani azt a reklámprogramot, amely több millió felhasználónak okozott bosszúságot.
 
hirdetés
A Google Play webáruház védelme ismét nem úgy teljesített, ahogy az elvárható lett volna. Kiderült ugyanis, hogy legalább egy éven keresztül egy GhostClicker nevű reklámprogram teljesen szabadon terjedt a hivatalos áruházban, és nem kevesebb mint 340 alkalmazásba férkőzött be. Mindezt úgy, hogy a biztonsági kutatóknak csak az elmúlt napokban szúrt szemet a károkozó.
 
Elsőként a Trend Micro szakembereinek tűnt fel a GhostClicker, amit aztán jeleztek is a Google-nek. Amikor azonban a biztonsági cég megkongatta a vészharangot, akkor a 340 fertőzött appból több mint 100 még mindig elérhető volt a Playen. Az eddigi vizsgálatok szerint a legtöbb fertőzés az ázsiai országokban következett be, de valójában globális problémáról van szó. Oly annyira, hogy csak az egyik fertőzött alkalmazásból több mint ötmillió példányt töltöttek le a felhasználók, mire kiderült, hogy gond van.
 
A GhostClicker alapvetően két technikának köszönheti azt, hogy egy éven keresztül rejtve tudott maradni. Egyrészt teljesen legális, jól ismert komponensekből épült fel. Így például a Google Mobile Services (GMS) API-t és a Facebook Ad's SDK-t használta a hirdetések kezeléséhez. Másrészt pedig különféle anti-sandbox módszereket vetett be, hogy megkerülje a Google Play védelmi mechanizmusait. Megvizsgálta például az eszköz típusát (user-agentet), és ha a visszakapott értékben szerepelt a "nexus" kulcsszó, akkor nem végzett semmiféle káros műveletet. A "nexus" szó azért fontos, mert a Play leginkább Nexus emulációval végzi az ellenőrzéseket. Mindenesetre ez elég volt ahhoz, hogy a GhostClicker szó nélkül kikerüljön 340 példányban a Playre.


Egy fertőzött app - Forrás: Trend Micro
 
Bosszantó szerzemény
 
A reklámprogram a készülékeken azért már nem annyira észrevétlenül működik. Időközönként ugyanis reklámokat jelenít meg kitakarva ezzel a felhasználó által éppen futtatott alkalmazást. Ez pedig igencsak bosszantó tud lenni. Ilyenkor nem egyszer olyan hirdetések bukkannak fel, amelyek például YouTube videókra mutatnak, vagy egyéb Play Store-ban lévő alkalmazások telepítésére ösztökélnek. Ekkor nem elképzelhetetlen az sem, hogy további káros, nemkívánatos appok kerülnek fel a készülékre.
 
Egy jó hír is akad
 
A Trend Micro jelezte, hogy az eddigi GhostClicker variánsok esetében nem voltak kimutathatók olyan összetevők, illetve funkciók, amelyek arra utaltak volna, hogy a kártevő bizalmas adatokat is képes lenne kiszivárogtatni. Most úgy tűnik, hogy az egyetlen célja a hirdetések megjelenítésében merül ki. 
Vélemények
 
  1. 3

    Az Apache HTTPD egy adatlopásra lehetőséget adó sebezhetőséget tartalmaz.

  2. 4

    Az Apache Tomcat két hibajavítással gyarapodott.

  3. 4

    A Samba három sebezhetőség miatt kapott újabb frissítést.

 
Partnerhírek
​Hogyan lehetsz tudtodon kívül kriptobányász?

A kiberbűnözők évek óta kihasználják a kriptovaluta bányászatban rejlő lehetőségeket, hogy profitra tegyenek szert.

Hallhatatlan hangban érkezhet utasítás az asszisztensekhez

Egy kínai egyetemi kutatócsapat szerint az okostelefonokba beépített digitális asszisztenseket a hallható tartomány feletti frekvenciájú hangutasítással is lehet irányítani.

hirdetés
Közösség
1