Judy Malware: από το Google Play Store σε 36,5 εκ. συσκευές Android
Ημ/νία: 1 Ιουνίου 2017 | by Δημήτρης Θωμαδάκης
0Οι ερευνητές ασφαλείας της Checkpoint ισχυρίζονται ότι ανακάλυψαν ενδεχομένως τη μεγαλύτερη εκστρατεία malware στο Google Play Store, από την οποία έχουν ήδη μολυνθεί περίπου 36,5 εκατομμύρια συσκευές Android με λογισμικό ad-click.
Όπως διαβάζουμε στο secnews.gr οι κακόβουλες εφαρμογές, που αναπτύχθηκαν από την εταιρεία Kiniwini που έχει ως έδρα την Κορέα, κυκλοφορούσαν υπό την επωνυμία ENISTUDIO Corp και περιείχαν ένα πρόγραμμα adware, το οποίο οι ερευνητές ονόμασαν Judy. Το Judy, όπως προαναφέραμε χρησιμοποιούνταν για τη δημιουργία ψευδών κλικ που αποσκοπούσαν στη δημιουργία εσόδων από διαφημίσεις.
Επιπλέον, οι ερευνητές αποκάλυψαν επίσης μερικές ακόμη εφαρμογές, που δημοσιεύτηκαν από άλλους προγραμματιστές στο Google Play Store, και περιέχουν ανεξήγητα το ίδιο το κακόβουλο λογισμικό. Η σύνδεση μεταξύ των δύο εκστρατειών παραμένει ασαφής, αν και οι ερευνητές πιστεύουν ότι είναι πιθανό ο ένας προγραμματιστής δανείστηκε τον κώδικα από τον άλλο, «εν γνώσει ή εν αγνοία του».
“Είναι πολύ ασυνήθιστο να βρεθεί ένας οργανισμός πίσω από μια καμπάνια κακόβουλου λογισμικού, καθώς οι περισσότερες από αυτές αναπτύσσονται από καθαρά από κακόβουλους (αυτόνομους) χρήστες”, αναφέρουν οι ερευνητές της CheckPoint.
Οι εφαρμογές που είναι διαθέσιμες στο Play Store δεν περιέχουν κακόβουλο κώδικα για να παρακάμπτουν την προστασία του Google Bouncer. Μόλις γίνει η λήψη και η εγκατάσταση όμως, η εφαρμογή καταγράφει σιωπηρά τη συσκευή χρήστη σε ένα απομακρυσμένο διακομιστή ελέγχου και σαν απάντηση λαμβάνει το πραγματικό κακόβουλο φορτίο (Judy Android Malware) που περιέχει ένα JavaScript που ξεκινά την πραγματική κακόβουλη διαδικασία.
Μόλις δημιουργηθεί η σύνδεση, οι κακόβουλες εφαρμογές αλλοιώνουν τα user agents του browser για να το “παίξουν” πρόγραμμα περιήγησης για να ανοίξουν σελίδες και να δημιουργήσουν κλικ. Η Google έχει απομακρύνει ήδη τις εφαρμογές που περιείχαν το Judy Android Malware από το Play Store, αλλά αφού το Google Bouncer δεν τις αναγνώρισε εξ αρχής σαν κακόβουλες καλό θα ήταν να προσέχετε τι κατεβάζετε.