Asus Zenfone 4
Ważne

Google Play Protect jednak nie taki skuteczny – jeden malware, ponad sto aplikacji, miliony pobrań

Większość z Was odnotowała zapewne, że choć instalacja antywirusa na komputerze z systemem Windows jest wręcz standardową praktyką, tak jakakolwiek myśl o tego typu aplikacji na Androidzie na ogół zbywana jest śmiechem. Wystarczy, że będziesz uważny, instalował tylko aplikacje z Google Play, nie wchodził na dziwne strony i będzie dobrze. Nabieram jednak pewnych wątpliwości, skoro setki aplikacji z tym samym złośliwym kodem bez problemu przedarły się przez Google Play Protect i zdążyły zostać pobrane miliony razy zanim gigant z Mountain View w ogóle zorientował się, że coś jest nie tak.

Nieco ponad miesiąc temu do wszystkich z nas trafiła usługa Google Play Protect, która ma za zadanie prześwietlanie zainstalowanych na smartfonie aplikacji i informowanie użytkownika o każdym działaniu, które uzna za niepożądane. Na dodatek, całkiem niedawno wspominaliśmy o tym, że gigant z Mountain View planuje zaprząc do pracy machine learning w celu kontrolowania uprawnień aplikacji. Czy takie działania odniosły jakikolwiek skutek?

Aby dobrze zrozumieć ten problem, muszę rozpocząć od wyjaśnienia użytego w tytule terminu. Z połączenia angielskich słów malicious software (złośliwe oprogramowanie) utworzono jedno – malware. Pod tym określeniem kryje się pod nim każda aplikacja, skrypt czy linijka kodu, która ma działanie – ogólnie rzecz ujmując – szkodliwe dla użytkownika. I właśnie przed wszelakiego rodzaju malware miał chronić użytkowników Google Play Protect.

Zapomniano jednak o jednym, względnie prostym działaniu, które niektórzy nazywają “obfuskacja”. Zaciemnianie kodu, bo tak powinniśmy tłumaczyć to określenie, jest chyba całkiem proste do zdefiniowania jeżeli chodzi o malware – chodzi o takie przekształcenie aplikacji, aby jej “złośliwość” była niewykrywalna, ale wciąż aktywna. Wystarczyło właśnie zaciemnienie, aby do Google Play bez wątpienia przedostało się troszeczkę programów tego typu – jednym z nich jest chociażby aplikacja Lovely Wallpaper. Brzmi całkiem niewinnie, prawda? Spokojnie, to tylko pozory ;).

Spójrzcie tylko na powyższy zrzut ekranu – może gigant z Mountain View jest mało skuteczny, ale użytkownicy radzą sobie już trochę lepiej – nawet stosunkowo niewielka liczba ocen przekłada się na tak niską średnią, że każdy świadomy użytkownik Androida omijałby aplikację szerokim łukiem. Ale Śliczne Tapety są kierowane najprawdopodobniej do dzieci, które nie za bardzo rozumieją tego typu mechanizmy i łatwo skusić je na względnie chwytliwą nazwę i ładne grafiki.

Ten konkretny malware został nazwany ExpensiveWall na cześć właśnie powyższej aplikacji, ale został zaimplementowany do wielu z nich, a konkretniej rzecz ujmując – stu siedmiu, których łączna liczba pobrań wynosi między 6, a 21 milionów. Niektóre zarażone programy pojawiły się w Google Play ponad trzy lata temu!

No dobrze, ale o jakie zarażenie w ogóle chodzi?

Działanie ExpensiveWall jest bardzo proste – aplikacja wymusza od użytkownika uprawnienia wystarczające do zasubskrybowania usług premium, oczywiście z numeru telefonu przypisanego do włożonej do urządzenia karty SIM. Potem już z górki – czysty profit.

Dlaczego ExpensiveWall jest niebezpieczny? Po pierwsze – podobno sam kod jest na tyle “zmyślny”, że wystarczy tak naprawdę jego prosta modyfikacja, aby móc zrobić przy jego użyciu… cokolwiek. W tym przypadku chodziło o zysk czysto pieniężny, ale już chyba nawet to jest lepsze niż dostarczenie komuś dostępu do wykonywania zdjęć, nasłuchu przy użyciu mikrofonu czy zwykłego wglądu do wszystkich danych. Po drugie – te same uprawnienia dosyć często są wymagane przez aplikacje nie ze względu na złe zamiary dewelopera, a zwykłą konieczność, co zdążyło uśpić czujność wielu użytkowników.

Domyślacie się już zapewne, że sam wpis powstał przede wszystkim ku przestrodze – wszystko wskazuje na to, że większość (o ile nie wszystkie) aplikacje z ExpensiveWall zostały już usunięte, ale przecież to tylko jeden rodzaj malware, a może być ich nieskończenie wiele. W żadnym wypadku nie chodzi mi o to, aby reklamować Wam jakiekolwiek rozwiązanie antywirusowe na Androida – chodzi przede wszystkim o to, żebyście kontrolowali uprawnienia, jakie przyznajecie aplikacjom, a jeśli macie dzieci – być może warto nauczyć je, aby nie instalowały nic samodzielnie. W końcu wystarczy kilka błędnych kliknięć, aby z portfela wypłynęło dobrych kilkadziesiąt złotych, nie wspominając już nawet o całej gamie informacji prywatnych.

źródło: Blog CheckPoint via Android Police
grafika główna: Pixabay, Android

Komentarze

  • Swoją drogą aplikacja powinna wylecieć za łamanie praw autorskich (postać Kermita). Za mniejsze rzeczy zazwyczaj Google banuje.

    • Jarek Siedlak

      Chyba, że ma licencje… Mała inwestycja, a szybko się zwraca…

  • Dziecku jeszcze lepiej po prostu zablokować dostęp do usług premium…

    • Paweł

      To już w ogóle obowiązkowo, ale miałem tutaj na myśli przede wszystkim przypadki korzystania z telefonu rodziców

      • W sumie u siebie również zawsze warto zablokować, niezależnie od tego kto zazwyczaj ma dostęp do telefonu…

  • Konrad Uroda-Darłak

    “instalacja antywirusa na komputerze z systemem Windows jest wręcz standardową praktyką” Mógłby autor rozwinąć myśl?

    • Franciszek Moczulski

      Że z reguły każdy instaluje?

      • Paweł

        To chyba już na szczęście nieaktualne. Windows 8 i 10 ostatecznie pozwoliły pożegnać tych energożernych zamulaczy :)

        • stark2991

          Zapora systemowa, o ile dużo lepsza niż dotychczas, to nadal ma o wiele gorszą skuteczność od porządnego antywirusa, nie mówiąc już o wielu dodatkowych funkcjach jakie antywirusy dostarczają

          • anemusek

            Defender to antywirus. Zapora systemowa to oprócz tego. Obecnie antywirusy w dużej mierze cofają się ze skutecznością. Niestety. Duży wkład w to ma sam microsoft po pierwsze utrudniając im życie, a po drugie uszczelniając system. Sporo ma zaszyty malware (afera z pewnym rosyjskim np)

          • stark2991

            Chodziło mi o Defender, jego skuteczność jest mierna.

          • avast

            Lepsza niż niektórych płatnych antywirusów, o czym niestety przekonałem się na własnej skórze.

          • Misio

            W 1703? Lepsza niż większość antywirusów (zwłaszcza tych sygnaturowych), które ostatnio nie wyłapują praktycznie niczego.

          • VMortens

            To się wciąż zmienia – była mierna, ale np. wersja na Win10 (nie wiem jak inne) zrobiła się dość użyteczna. To zdecydowanie nie to samo co jeszcze rok temu.

      • Konrad Uroda-Darłak

        Każdy? Jesteś pewny? Nie mierz wszystkich swoją miarą – Twoje otoczenie to żaden wyznacznik.

    • Paweł

      @disqus_Pawel:disqus – jeszcze oznaczę, żeby się nie powtarzać ;).

      Mimo tego, że Microsoft zapewnia, że Defender jest wystarczającym antywirusem, spora część użytkowników Windowsa nadal decyduje się na instalację czegoś innego – czy to darmowego, czy płatnego.
      Co prawda od ósemki coraz częściej mówi się o tym, że preinstalowane oprogramowanie radzi sobie wystarczająco, ale Kaspersky/Eset/Norton/Bitdefender/Avast wciąż mają się baaardzo dobrze. Nie wiem jak długo i czy to wynika z ich skuteczności, czy przyzwyczajenia z czasów XP/Vista/7, ale antywirus na PC nie dziwi nikogo, podczas gdy na Androida jest czymś dziwnym.

      No, i pokusiłbym się o stwierdzenie, że komputery z Windowsem 8/8,1/10 z góry mają niejako zainstalowanego “antywirusa” – właśnie Defendera, a na Androidzie jego odpowiednika mimo wszystko nie uświadczymy.

      • Jarek Siedlak

        A fe, co najmniej dwa z wymienionych “antywirusów” to malware xD

        • Paweł

          Z ciekawości – które?
          Przyznam szczerze, że miałem okazję korzystać chyba ze wszystkich i osobiście mam obiekcje do Avasta i Nortona. Pozostałe trzy są chyba OK, ale może się mylę :D

          • Misio

            Na pewno Avast. Jak dostaję laptopa, bo: muli, sieć nie działa, nic nie działa itp. to w 98% przypadków jest to Avast.

          • elora

            Ja od niedawna używam Defendera, przesiadłem się z avasta. Teraz avast to kupa. (0% opcji trzeba odznaczyć bo inaczej same problemy.

      • anonim

        “Antywirusy na Androida istnieją tylko dlatego, bo da się je napisać. Przykładowo w iPhone nie można skanować pamięci urządzenia, więc nie można napisać antywirusa i to jest powodem, że takie aplikacje nie istnieją dla iOS, a nie fakt, że nie ma wirusów. Tymczasem wiele ludzi daje sobie wciskać bzdury w (sponsorowanych) artykułach twierdzących jaki to Android jest zawirusowany… Na Androida wirusów po prostu nie ma – ich istnienie nie jest technicznie możliwe. Podstawą określenia szkodliwego oprogramowania wirusem jest zdolność do replikacji, czyli zarażania innych programów a to w Androidzie jest absolutnie niemożliwe, gdyż ze względu na maszynę wirtualną Javy każda aplikacja uruchamiana jest w swojej piaskownicy (tzw. sandbox) i nie może przejść przez pamięć do innej aplikacji. Aplikacji na dysku też nie może modyfikować, gdyż zniszczy podpis aplikacji, więc po prostu ją uszkodzi.
        Jedyny problem może się pojawić gdy użytkownik świadomie zainstalował i świadomie uruchomił szkodliwą aplikację (czyli malware). Wystarczy jednakże zachować proste dwa kroki: nigdy nie instalować aplikacji spoza Google Play, a i nawet nad instalacją tych z Google Play zastanowić się dwukrotnie, przejrzeć opinie, a jeśli jest ich mało – poczekać, aż zbierze się więcej.
        Summa summarum: najlepszym antywirusem jest mózg. Niestety nie jest darmowy – trzeba go długo trenować.”

        • elora

          Cały czas powtarzam, że przecież w androidzie działa system nadawania uprawnień. Pierwsze uruchomienie aplikacji i wyskakuje do czego aplikacja chce mieć dostęp, jeżeli aplikacja do edycji zdjęć chce mieć dostęp do kontaktów i możliwości połączeń głosowych to co za idiota się na to zgadza.

  • elora

    “Działanie ExpensiveWall jest bardzo proste – aplikacja wymusza od użytkownika uprawnienia wystarczające do zasubskrybowania usług premium, oczywiście z numeru telefonu przypisanego do włożonej do urządzenia karty SIM. Potem już z górki – czysty profit.”

    Jak aplikacja może cokolwiek wymuszać?? Jeżeli aplikacja latarki chce dostęp do kontaktów to po prostu odmawiam, nie uruchamia się to do kosza. Tak trudno ludziom to zrozumieć??

Logowani/Rejestracja jest chwilowo wyłączona