30

Google nie daje sobie rady z malware w sklepie Play

Smutna sprawa - cztery niezależne firmy zajmujące się cyberbezpieczeństwem opublikowały (lub przymierzają się dopiero do tego) raporty, wedle których można stwierdzić, że w sklepie Google Play dzieje się bardzo źle. Wszystko przez złośliwe programy, w których zaszyto niebezpieczne mechanizmy.

Dr.Web, McAfee oraz Malwarebytes donoszą o trzech zupełnie nowych typach malware w sklepie Google Play. Wszystkie te przypadki dotyczą programów publikowanych jako gry lub narzędzia i oprócz standardowych funkcji, zawierają w sobie niebezpieczne linijki kodu, które mogą być dla użytkownika niesamowicie uciążliwe. Według informacji zgromadzonych przez te firmy, najniebezpieczniejszym i jednocześnie najbardziej rozprzestrzenionym jest Grabos zidentyfikowany przez McAfee.

Skala procederu jest porażająca

Jak się okazuje, aplikacje w których zaszyty jest Grabos zainstalowano naprawdę wiele razy. Biorąc pod uwagę statystyki z 34 ze 144 zidentyfikowanych złośliwych programów, licznik pobrań wskazuje od 4,2 do 17,4 miliona. Grabos korzysta z fałśzywych powiadomień na zainfekowanych urządzeniach po to, aby instalować inne aplikacje. Twórcy cyberzagrożenia zarabiają za każde pobranie aplikacji dystrybuowanej w ramach niebezpiecznej sieci. Badaczom z McAfee po analizie kodu źródłowego udało się znaleźć pełną listę złośliwych aplikacji opublikowanych w sklepie Google Play.

Google, Android, Wirus

Dr.Web natomiast znalazł adware oznaczony: „Android.RemoteCode.106.origin”, który otwiera ukrte okno przeglądarki (WebView) i uruchamia konkretne strony. Dzięki temu możliwe jest zwiększenie przychodów z reklam – oczywiście w absolutnie fałszywy i szkodliwy dla użytkownika sposób. Jak dotąd, udało się zidentyfikować 9 programów w sklepie Google Play z tym cyberzagrożeniem – pobrano je od 2,37 do 11,7 miliona razy.

Malwarebytes wpadł za to na trop AsiaHitGroup – zagrożenia wycelowanego głównie w użytkowników z Azji. Złośliwy program kryje się w aplikacjach służących m. in. do skanowania kodów QR. W stosunku do innych wymienionych wirusów, jest on znacznie bardziej niebezpieczny – jest w stanie samodzielnie dokonać subskrypcji usług SMS Premium, które dla użytkownika mogą być niesamowicie kosztowne.

Google nie daje sobie rady ze złośliwymi aplikacjami

Mimo działań mających na celu wyeliminowanie niebezpiecznych programów w oficjalnym repozytorium, walka z tego typu zagrożeniami idzie jak po grudzie i co więcej, cały czas znajdowane są nowe cyberzagrożenia. Dla użytkowników systemu Android to poważny problem – trudno jest bowiem odpowiednio zweryfikować niebezpieczne aplikacje, szczególnie, że zazwyczaj dobrze się „kryją” ze swoim modus operandi. Jeżeli obawiacie się takich infekcji, wystarczy, że będziecie kierować się zdrowym rozsądkiem. Zawsze wybierajcie programy od zaufanych deweloperów, czytajcie recenzje i gdy tylko zauważycie, że coś niedobrego dzieje się z telefonem lub tabletem po zainstalowaniu konkretnej aplikacji – czym prędzej ją odinstalujcie. Podobną rozwagę zachowujcie w trakcie korzystania z nieoficjalnych sklepów z aplikacjami – na przykład z APKMirror.

  • doogopis

    Producenci antywirusów jak zwykle przesadzają. Oni tam zawsze widzą wirusów jak mrówków. Może jakieś chińskie czy ruskie apki co nikt nie instaluje,no prawie. Ale jak można pobierać apke miliony razy i zero komentarzy czy zgłoszeń do google? Kit jakiś. Jakieś zrzuty czy dowody infekcji? Tego akurat nie ma. A te ich antywirusy są beznadziejne.

    • bdfvcxs
    • Szemot

      Dowody? Co Ci dadzą jakiekolwiek dowody skoro wierzyć będziesz w to co chcesz? ;-) I przypominam, że od tego są antywirusy żeby znajdować wirusy. Tak jak lekarz jest żeby diagnozować chorobę a nie mawiać, że ona jest żebyś poszedł do apteki.

    • Anonim

      „I przypominam, że od tego są antywirusy żeby znajdować wirusy”

      „Antywirusy na Androida istnieją tylko dlatego, bo da się je napisać. Przykładowo w iPhone nie można skanować pamięci urządzenia, więc nie można napisać antywirusa i to jest powodem, że takie aplikacje nie istnieją dla iOS, a nie fakt, że nie ma wirusów. Tymczasem wiele ludzi daje sobie wciskać bzdury w (sponsorowanych) artykułach twierdzących jaki to Android jest zawirusowany… Na Androida wirusów po prostu nie ma – ich istnienie nie jest technicznie możliwe. Podstawą określenia szkodliwego oprogramowania wirusem jest zdolność do replikacji, czyli zarażania innych programów a to w Androidzie jest absolutnie niemożliwe, gdyż ze względu na maszynę wirtualną Javy każda aplikacja uruchamiana jest w swojej piaskownicy (tzw. sandbox) i nie może przejść przez pamięć do innej aplikacji. Aplikacji na dysku też nie może modyfikować, gdyż zniszczy podpis aplikacji, więc po prostu ją uszkodzi.
      Jedyny problem może się pojawić gdy użytkownik świadomie zainstalował i świadomie uruchomił szkodliwą aplikację (czyli malware). Wystarczy jednakże zachować proste dwa kroki: nigdy nie instalować aplikacji spoza Google Play, a i nawet nad instalacją tych z Google Play zastanowić się dwukrotnie, przejrzeć opinie, a jeśli jest ich mało – poczekać, aż zbierze się więcej.
      Summa summarum: najlepszym antywirusem jest mózg. Niestety nie jest darmowy – trzeba go długo trenować”

    • Szemot

      Dobrze wiesz, że „virus” to słowo w domyśle a chodzi w rzeczywistości o malware. A same wirusy oczywiście że miały możliwość istnienia i istniały do Androida 4 aż Google zrobiło w nim sandboxa jak w iOS i się już nie dało. Przynajmniej w teori. W praktyce jak wiemy wiele osób zdejmuje to zabezpieczenie lub dodatkowo zezwala na instalacje dowolnego programu spoza sklepu. Natomiast sam malware to coś nie częstego a powszechnego w Google Play. Od klawiatur orzezninne programu, nawet antywirusowe. Każdy robi co innego i niektóre zapisują do usługi premiim SMS, inne wykradają dane dla reklamodawców a jeszcze inne stwarzają furtki dla ewentualnych przyszłych ataków jeśli np to grupa włamujący się do urządzeńnaa zlecenie to tworzy trefną apkę żeby mieć potencjalne osoby jus zainfekowane. To istnieje i jest realne. I ja wciąż mówię o oficjalnym sklepie GooglePlay. Kurde, w oficjalnym ich sklepie nawet podrobiono Whatsappa z zainfekowanym kodem który ściągany był przez mnóstwo osób. https://www.google.pl/amp/s/www.spidersweb.pl/2017/11/sklep-play-malware-whatsapp.html/amp

    • Anty

      Tak, ignorancja jest błogosławieństwem.

    • doogopis

      Akurat widziałem że takie programy kiepsko se radzą z malware.
      A skoro ktoś stwierdzacże coś gdzieś jest,to powinien podać przykłady aplikacji. A nie tak na słowo.skąd wiemy że to prawda? Kto to widział? Stivie Wonder? Gdzie ty widziałeś te zainfekowane androidy? Co?

    • dob3k

      Malwarebytes posiada jeden z najlepszych dostepnych programow przeciw malware na PC.
      Niedawno czytalem ze falszywego WhatsUp pobrano ponad milion razy takze ten…

    • Flint_PS

      Ale wiesz że twórcy takiej fałszywej wersji aplikacji sztucznie pompują liczbę pobrań żeby zwiększyć wiarygodność?

    • dob3k

      Nie, no pewnie. Sytuacja w google market jest stabilna jak we Francji, a problemy androida z malware to jedynie halucynacje z niedożywienia…

    • Flint_PS

      Ale moment, w którym momencie ja powiedziałem, ze ta zarażona aplikacja nie znalazła się w sklepie i że nikt się na nią nie dał złapać?

      Mówię natomiast, że mówienie o tym, że tych milion pobrań fałszywej wersji WhatsAppa nie przekłada się na milion zainfekowanych urządzeń nieświadomych użytkowników. Nieznany, ale prawdopodobnie wysoki procent to pobrania fałszywe, służące wyłącznie nabiciu tego licznika i uwiarygodnieniu aplikacji.

    • dob3k

      Oj, ja po prostu zawsze się śmieję z prób umniejszania problemu.
      To zawsze inni, mniej rozsądni instalują takie apki. A liczby są przesadzone i analitycy tylko straszą. Zawsze ktoś napisze, że wystarczy używać mózgu. No i oczywiście, że trzeba czytać recenzje. I w ogóle to problem innych, co ściągają apki z niewiadomych miejsc i wchodzą na stronki porno, a nie ich, bo oni tego nie robią. W ogóle to maja tylko kilka zaufanych apek i nic innego nie instalują wiec ich problem nie dotyczy.
      xD A milionowe botnety na androidach to robia krasnoludki…

    • Flint_PS

      Nie umniejszam problemu. Jest, istnieje, Google umiarkowanie sobie radzi z odsiewaniem gówna z Play Store.
      Z drugiej strony nie wierzę w autentyczność tych milionów pobrań.

    • dob3k

      Tego jest tak dużo (juz nie wspominając o trojanach zainstalowanych out-of-the-box), ze milion pobrań w tą czy w tą dla androida juz nie robi różnicy.
      Ja osobiście nie przeniósł bym się na andka nawet jakby mi za to mieli zapłacić, ale jak ktoś woli „mieć kontrolę nad telefonem” to niech sobie używa andka. Ważne żeby chociaż zdawał sobie sprawę z zagrożeń.

    • Flint_PS

      Każdemu jego porno, mnie iOS do siebie nie przekonał.

      Na szczęście dla siebie zdaję sobie sprawę z zagrożeń i wybieram telefony bez fabrycznie zainstalowanych trojanów, więc śpię spokojnie.

    • dob3k

      Cieżko wybrać bez zainstalowanych trojanów/backdoorów, bo najcześciej to się okazuje juz po zakupie. Co chwile na niebezpieczniku czy innych są nowe info o wtopach bezpieczeństwa andka. Śpij wiec z jednym okiem otwartym ;)

    • Flint_PS

      Mam Nexusa i przesiadam się na Pixela. Nikt nie daje szybciej poprawek bezpieczeństwa.

    • dob3k

      Zalatanie KRAKa zajelo ponad miesiac. Moim zdaniem zalatanie wiekszosci zero day zajmuje apple krocej.
      A tak przy okazji nexusa to tez przeciez mialy backdoory out-of-the-box nie?

      http://www.independent.co.uk/life-style/gadgets-and-tech/news/android-malware-phones-infected-samsung-galalaxy-s7-nexus-5x-models-before-sale-a7626726.html

    • Flint_PS

      “The malicious apps were not part of the official ROM supplied by the vendor, and were added somewhere along the supply chain.”

    • dob3k

      Zbyt duzo to nie zmienia dla usera koncowego skoro byly zainstalowane przed pierwszym uzyciem telefonu.
      ¯_(ツ)_/¯

    • Szemot

      https://www.spidersweb.pl/2017/11/sklep-play-malware-whatsapp.html
      http://antyweb.pl/android-trustzone/
      https://tech.wp.pl/nawet-2-mln-ofiar-podstepny-wirus-na-androidzie-6116830578354305a?src01=6a4c8&src02=facebook_komorkomania
      https://www.spidersweb.pl/2017/09/go-keyboard-android.html
      Słyszy się o tymcodziennie tylko dla posiadaczy Androida to jak z teorią płaskiej ziemi. Nie licza się fakty tylko ich opinie więc zaprzeczają, że takie coś istnieje. Virus to coś co jest widoczne, namacalne i przeszkadza każdemu. Malware nie bo jest zaprojektowany tak żby posiadacz nie był świadom jego istnienia. To, ze szybciej mu sie wyładowuje bateria to uznaje, że znów Android jakis proces włączył i tyle. Jedni zapisywani są na premium SMS, innym wykradane są dane, jeszcze innym po prostu znikają dane potrzebne reklamodwacom a najniebezpieczniejsze zarazem dla wiekszości bezbronne to celowe robienie furtek w telefonie. Robi się to jak najwiekszej ilości osób aby gruma hakerów która zajmuje sie spersonalizowanym wykradaniem danych np jakiejs osobie lub chcąc ją szpiegować miała już jakąs baze czyli mają nadzieje, że ta osoba już będzie miała zrobioną przez nich lukę. Wciąż nie będziesz jej świadom i dlatego są firmy któe zajmuje się tym abyś to wiedział. Tylko co z tego skoro nie chcesz wiedzieć? Z resztą nie tylko to. Juz nieraz pokazywałeś, że zaprzeczasz wiedzy i wolisz konspiracyjne teorie dziejów.

    • doogopis

      I co ty mi tu wysyłasz kolejne bajki? Oczywiście pokemon go było,ale leszcze pobierali z pierwszego lepszego linku,ignorowali ostrzeżenia.
      Dodatkowo moge ci pokazać film gdzie kilka antywirusów ma problem z odinstalowaniem tego syfu. Zobacz se na przykładzie filmu. Ciekawy film!
      https://m.youtube.com/watch?v=lv28Yg04haE
      Albo ten super atak 2link.
      „bo jak twierdzą badacze, atak nie jest prosty do wykonania i nie ma szans na to, aby stworzyć jednolity dla wszystkich urządzeń sposób kolektywnego ataku.”
      No kur.a straszne! Zimny pot aż pociekł mi po plecach.
      „Aplikacja która wyświetlała niechciane reklamy ”
      No przerażające,w najgorszym razie przywracanie do ustawień fabrycznych.
      Z całym szacunkiem którego czasem nie okazywałem no dzie te twoje straszne wirusy? To jakieś lebiegi i ludzie którzy są nietechniczni wpadają na taki szajs. Ja nawet jak pobieram czasem piraty to ze stronek które znam jakiś czas. Często apke najpierw instaluje na starym nie aż tak potrzebnym sprzęcie by zobaczyć czy nie ma jakiś przebojów tego typu. Aplikacje często sprawdzam jak działają na yt,raczej bym sie nie nabrał na jakąś nieistniejącą,choć i najlepsi czasem łapią jakiś syf.
      Nigdy nie miałem żadnego malware. Nie instaluje dużo apek,gier wcale prawie. Ile razy widziałeś komentarze ludzi którzy złapali cokolwiek na androidzie? Nigdy? Jednak dalej twierdze że gdy używasz sprzętu z głową ryzyko jest minimalne w tych czasach,może kiedyś sie to zmieni. Android jest całkiem bezpiecznym systemem.
      „Pod koniec grudnia zeszłego roku phobos, jeden z szanowanych członków społeczności Tora, zgłosił do App Store, że Tor Browser dostępny w tym sklepie z aplikacjami to fałszywka, wypełniona adware i spyware. Apple odpowiedziało kilka dni później, informując, że daje autorowi aplikacji szansę wytłumaczenia się. Potem nastała cisza – zgłoszenia do App Store wysyłane przez innych użytkowników Tora pozostawały bez odpowiedzi. W końcu zaproponowano, by pominąć biurokratyczne bariery w Cupertino, kontaktując się bezpośrednio z Window Snyder i Jonem Callasem, związanymi z Apple ekspertami od bezpieczeństwa. Jeśli i to by nie pomogło, to ostatecznością byłoby rozpoczęcie kampanii na Twitterze, w której publicznie pytano by, dlaczego Apple lubi szkodzić ludziom dbającym o swoją prywatność.

      Odpowiedzi z Apple na razie wciąż brak, a Tor Browser wciąż straszy w App Store. Zapewne trafił on tam jak każda inna aplikacja, a moderator zatwierdził go w ciągu kilku chwil, po rzuceniu okiem na pozornie bezpieczny kod. Pozornie bezpieczny, gdyż znane są metody zdalnego uzłośliwienia aplikacji. Było tak w wypadku słynnej przeróbki aplikacji News:yc, którą badacze z Georgia Institute of Technology zdołali w zeszłym roku wprowadzić do sklepu Apple’a, mimo że stworzony przez nich trojan potajemnie publikował wpisy na Twitterze, wysyłał SMS-y i e-maile, robił zdjęcia bez wiedzy użytkownika, wykorzystywał przeglądarkę Safari do pobierania złośliwego kodu ze stron WWW, a nawet atakował jądro systemu i inne aplikacje.”
      https://www.dobreprogramy.pl/Falszywy-Tor-Browser-w-App-Store.-Apple-milczy-w-tej-sprawie-od-miesiecy,News,53103.html
      Ciebie to nie dotyczy bo ty masz ajfon?tak?

    • Łukasz Maćczak

      Akurat jestem developerem takich aplikacji ;) – nie wychodzę jednak po za wyznaczoną granicę „nie szkodzić” i tworzę tylko adware, a nie malware. O Grabosie to ja wiedziałem od 4 lat, bo wspólnie ze znajomymi dekompilowaliśmy jego kod. Chcesz przykładów, znajdź sobie bardzo prosto, keyword „mp3 downloader” i jeśli znajdziesz aplikacje z ikonami zamiast screenshotów, na 100% jest to Grabos. Gość tak spamuje, że nie chce mu się nawet screenshotów robić. Malware to nie jest, nic automatycznie nie instaluje, ma za to ogromną liczbę aplikacji w sklepie sprzężonych house adsem. Wyświetla w jednej reklamy by zainstalować kolejną, ogromna masa oszukuje rankingi i wybija nowe aplikacje w ciągu kilku dni. Później wyświetla reklamy po za obszarem aplikacji i to tyle z tego magicznego „Grabosa”. Nawiasem mówiąc, twórcą jest Polak, a jego ksywka na forach to po prostu „grabos”, firma antywirusowa nazwała tak, bo w kodzie ma subdomenę „grabos coś tam” do kontroli wszystkich appek.
      Aplikacje szkodliwe w zasadzie na androida nie istnieją, jeśli użytkownik nie podejmie złej decyzji, np. nie nada uprawnień do SMS. Zresztą aplikacji typu premium SMS jest w sklepie bardzo mało i co ciekawe… robi to aplikacja operatora Play, łamiąc zasady sklepu w chamski sposób, duzi mogą jednak więcej i sklep Playa premium SMS w Google Play nadal istnieje. Aplikacje bankowe? Również trzeba uprawnień i to całej masy + Device Admin rights, jeśli ktoś instaluje śmieci na telefonie z aplikacją bankową, to cóż.. ;)

    • doogopis

      „Później wyświetla reklamy po za obszarem aplikacji i to tyle z tego magicznego „Grabosa”.”
      To jest sie czego bać. Reklame ci wyświetli. Straszne.
      Tak tylko na jutubie z ciekawości widziałem jakieś proste ransomware blokujące fona. No i co robiły antywirusowe progrsmy,próbowały odinstalować wykryty syf,tylko widać ciężko im to idzie. Niedawno był o jakiejś apce co edytuje fotki tak że sie wygląda jak z japońskiego manga,z uprawnieniami przesadzonymi do granic,lecz nie pamiętam nie bede wymyślał. Miliony pobrań. Chińska apka właściwie mogła kontrolować cały fon. Nie mogłem już znaleźć artykułu. Ja zawsze prawie instaluje najpierw apke na starszym sprzęcie gdyby była spiracona czy podejrzana.
      Jakaś względna ochrona jak antywirus to na androida tylko muli sprzęt. A jeśli ktoś nie instaluje apek z dziwnych stron czy dziwnych producentów to raczej ryzyko jest żadne prawie.

  • User

    Najlepiej zrobił Apple, nie można skanować iOS i mają spokój z tymi dziadami od siania strachu. Po drugie Google forsuje ostro swoją ochronę sklepu poprzez Play Protect i lament tych szmaciarzy, bo wirusy są na Androidzie.

    • malware

      Na Androidzie to nawet antywirusy są szkodliwe.
      http://antyweb.pl/android-antywirus-malware/

    • Moris299

      Na Windowsie też zdarzały się szkodliwe antywirusy.
      Ale Apple trzeba przyznać, że najlepiej sobie z tym radzą.

  • Marcin

    Ja tak tylko nadmienię, że ten cały „Web View” to największy rak Androida. Każda zakichana aplikacja otwiera se strony w łeb wiu a ty jedyne co możesz z tym mądrego zrobić to wybrać z menu „otwórz w chrome”. Nie wiem co za pacan to wymyślił.

  • Patro

    Nie wiecie czy jest jakieś ustawienie aby komentarze w Google play były w języku angielskim? Ja nie mogę czytać tych komentarzy po polsku. Wyglądają jakby były pisane przez ciężko upośledzonego dziesięciolatka.

  • Flint_PS

    Liczba pobrań na Play Store jest celowo sztucznie nabijana przez wypuszczających malware właśnie po to, żeby zmylić ludzi i skłonić do pobrania, to raz.
    Dwa, że ostatnie zdanie artykułu rozmija się z prawdą dwukrotnie. Po pierwsze APK Mirror NIE jest sklepem z aplikacjami, tylko repozytorium. Nie da się tam niczego kupić. Po drugie jest jednym z nielicznych godnych zaufania źródeł aplikacji spoza sklepu. Jest prowadzony przez ludzi od Android Police, a umieszczane w nim aplikacje przechodzą drobiazgową weryfikację i zawsze sa to aplikacje identyczne z tymi dostępnymi w Play Store. Ludzi poszukujących apek spoza sklepu powinno się kierować do APKMirror, a nie przed nim odstraszać.