neo matrix
17

Google usunął 300 aplikacji ze sklepu. Te programy wciągały użytkowników do botnetu

Sklep Google Play nie ma ostatnio dobrej passy. Nie tak dawno pisałem dla Was o tym, że z repozytorium poleciało około 500 aplikacji, które zawierały w sobie złośliwe elementy, które mogły zbierać dane na temat użytkowników. Okazuje się, że to nie jedyny tego typu incydent i... około 300 aplikacji dostępnych w bibliotece wciągało użytkowników do botnetu służącego do przeprowadzania ataków DDoS.

Sprawa wyszła na jaw tuż po tym, jak eksperci ds. bezpieczeństwa z Akamai dokonali analiz tuż po ataku DDoS na jednym z klientów firmy. Okazało się, że był on realizowany przez setki tysiące adresów IP rozsianych po całym świecie. Dalsze badania w tej kwestii wykazały, że winowajcą jest botnet WireX, którego mechanizmy były implementowane w niektórych aplikacjach dostępnych w sklepie Google Play. Z reguły te programy oferowały dostęp do dzwonków lub „udawały” odtwarzacze wideo. W rzeczywistości, ich celem było pozyskanie jak największej liczby urządzeń, które mogą wygenerować ruch potrzebny do stworzenia skutecznego ataku DDoS.

Google już wie o tym procederze i podjęło odpowiednie kroki ku ustabilizowaniu sytuacji. Według informacji pozyskanych przez Gizmodo, poprawnie zidentyfikowano około 300 aplikacji zawierających mechanizmy wciągające urządzenia do botnetu WireX i usunięto je ze sklepu Google Play. Obecnie trwa procedura usuwania ich z urządzeń użytkowników, którzy już zdążyli je pobrać. Jak podaje Akamai, w tym momencie oszacowano, że ofiarami infekcji padło około 70 000 urządzeń. Jednak w rzeczywistości, ta liczba może być znacznie większa. Podpowiedzią w tej kwestii może być fakt, iż do ataku na jednego z klientów Akamai użyto setki tysięcy różnych adresów IP. Jest wręcz pewne również to, że do skonstruowania botnetu skorzystano z innych sposobów dystrybucji wspomnianych wyżej mechanizmów.

Google Android smartfon w dłoni

Czy jest jakiś sposób, dzięki któremu możemy uniknąć zainfekowania złośliwym oprogramowaniem z repozytorium Google Play?

Twórcom złośliwego oprogramowania niesamowicie zależy na tym, aby ukryć właściwe zamiary. Dlatego, bardzo chętnie udostępniają użytkownikom atrakcyjne treści za darmo. Warto jednak posiłkować się opiniami na temat aplikacji i nawet choćby jedna, wskazująca na nieoczekiwane zachowania programu powinna nas zaalarmować. Szczególnie, jeżeli pochodzi od szerzej nieznanego dewelopera. Wielokrotnie zdarzało się także, że aby stworzyć pozory autentyczności aplikacji, zaprzęgano boty do „nabijania” dobrych recenzji dla niebezpiecznego oprogramowania. Ponadto, należy mieć się na baczności, kiedy pobieramy programy z zewnętrznych repozytoriów, np. z APKMirror. Tam obowiązkowe powinno być każdorazowe czytanie recenzji, nawet jeżeli pochodzi ona – jakby się mogło wydawać – od znanego twórcy.

Warto także sprawdzać, o jakie uprawnienia prosi aplikacja. Jeżeli uważacie, że są one zbyt rozległe i program wcale ich nie potrzebuje do poprawnego działania, lepiej z niego zrezygnujcie.

Koniecznie przeczytaj: Google usunęło 500 złośliwych aplikacji ze sklepu

  • Anonim

    I antywirusy na Androida nie pomagają? Nie wykrywają? Ojej, jak smutno.

    • Osobiście czekam na mechanizm antywirusowy od Google.

    • DRK

      Czekaj… czekaj… ja w tym czasie iPhone’a będę używał ;-)

    • grzesiek

      Oczyyyyywiscie …. LOL

    • Anonim

      I jak taki mechanizm miałby działać? W przypadku wirusów PC są fragmenty kodu i zachowania, które wskazują na złe intencje – replikacja, ukrywanie się przed menedżerami zadań, próba dostępu do zasobów innych aplikacji czy brak aktywnych okien i odpalanie kolejnych instancji. W przypadku Androida replikacja i ukrywanie się nie jest możliwa, a co za tym idzie odpalanie kolejnych instancji także; o dostępie do zasobów innej aplikacji nie wspominając. Można jedynie wykrywać próbę clickjacking, ale to już widziałem jakiś czas temu w kilku romach. Nic ponad to nie da się wymyślić. Potrzebna jest edukacja.

    • Już jest https://www.android.com/play-protect/
      Gdybyś miał jedną z tych apek to by została zdalnie usunięta. Gdybyś teraz chciał zainstalować dostałbyś powiadomienie, że jest niebezpieczna.

    • anonim

      Cytat z forum który podsumowuje sensowność dmuchania na zimne takim syfem (i ogólnie „antywirusów” na androida):
      Antywirusy na Androida istnieją tylko dlatego, bo da się je napisać. Przykładowo w iPhone nie można skanować pamięci urządzenia, więc nie można napisać antywirusa i to jest powodem, że takie aplikacje nie istnieją dla iOS, a nie fakt, że nie ma wirusów. Tymczasem wiele ludzi daje sobie wciskać bzdury w (sponsorowanych) artykułach twierdzących jaki to Android jest zawirusowany… Na Androida wirusów po prostu nie ma – ich istnienie nie jest technicznie możliwe. Podstawą określenia szkodliwego oprogramowania wirusem jest zdolność do replikacji, czyli zarażania innych programów a to w Androidzie jest absolutnie niemożliwe, gdyż ze względu na maszynę wirtualną Javy każda aplikacja uruchamiana jest w swojej piaskownicy (tzw. sandbox) i nie może przejść przez pamięć do innej aplikacji. Aplikacji na dysku też nie może modyfikować, gdyż zniszczy podpis aplikacji, więc po prostu ją uszkodzi.
      Jedyny problem może się pojawić gdy użytkownik świadomie zainstalował i świadomie uruchomił szkodliwą aplikację (czyli malware). Wystarczy jednakże zachować proste dwa kroki: nigdy nie instalować aplikacji spoza Google Play, a i nawet nad instalacją tych z Google Play zastanowić się dwukrotnie, przejrzeć opinie, a jeśli jest ich mało – poczekać, aż zbierze się więcej.
      Summa summarum: najlepszym antywirusem jest mózg. Niestety nie jest darmowy – trzeba go długo trenować.

    • Anonim

      Kimkolwiek jesteś dziękuję za rzeczowe uzupełnienie mojego posta.
      Niestety ludzie nadal będą je instalować na swoich urządzeniach, a potem dadzą losowej apce z marketu wszystkie uprawnienia, o które prosi.

    • Chaos Deterministyczny

      ” wielu ludzi”, reszta ok :)

    • qki

      Jedno słowo: StageFright
      I rozwinięcie: Stagefright – błąd w systemie Android umożliwiający zdalne wykonywanie kodu na zaatakowanym urządzeniu. Błąd dotyczy systemu Android w wersjach 2.2 i nowszych. Do przedstawienia idei ataku wykorzystano specjalnie przygotowany MMS wysłany na atakowane urządzenie.

      Tak wykonany atak nie wymaga żadnej czynności od użytkownika końcowego, a do jego wykonanie potrzebny jest jedynie znajomość numeru telefonu.

      Do ataku wykorzystywane są luki w bibliotece „Stagefright” odpowiedzialnej za odtwarzanie i nagrywanie multimediów.

      Szacunki mówią o blisko miliardzie urządzeń narażonych na atak tego typu.[potrzebny przypis]

      Błąd Stagefright odkrył Joshua Drake z firmy Zimperium zajmującej się bezpieczeństwem i został ogłoszony publicznie 27 lipca 2015 r., a w kwietniu 2015 informacja o błędzie została przekazana do Google.

    • Anonim

      Jeden drobiazg: luka została załatana gdzieś w okolicach 5.1. Nie przeczę, że nie istnieją lub nie powstaną kolejne. Nie zmienia to faktu, że żaden antywirus działający na uprawnieniach aplikacji nic tutaj nie zrobi. Tu trzeba by antywirusa działającego OBOK maszyny Java, a nie na niej. Lub przynajmniej mającego uprawnienia roota.

    • qki

      Muszę się zgodzić. Polemizowałem tylko z poglądem, że mózg wystarczy ;)

    • Mailosz

      „Nie jest możliwe” nie jest dobrym określeniem. Mało to dziur miała ta cała maszyna wirtualna javy?

  • Tomasz Słupicki

    Android, taki bezpieczny….

    • Anonim

      Troll warning.

    • Tomasz Słupicki

      Gdzie? Zaraz go zgasze!

  • janek

    pewnym rozwiazaniem moze byc „NoRoot Firewall”
    tylko że teraz zwykła aplikacja latarki bez dostepu do chmury moze nie chec dzialac :)