(fot. pixabay.com)

W Google Play znaleziono 238 aplikacji zawierających złośliwą wtyczkę

Niechciane reklamy, wyświetlane w dużym oknie zasłaniającym znaczną część ekranu, potrafią skutecznie nadszarpnąć nerwy. Niestety, do Google Play trafiło 238 aplikacji, które mogły znacząco utrudnić życie użytkownikom Androida.

Mimo wielu działań podjętych przez Google, jak chociażby wprowadzenie Play Protect, oficjalny sklep z aplikacjami na Androida nie jest wolny od złośliwego oprogramowania. Stanowczo zbyt często słyszymy o kolejnych wpadkach i dopuszczeniu do Google Play oprogramowania o naprawdę wątpliwej jakości. W kwietniu firma z Mountain View musiała usunąć sześć aplikacji zbierających wrażliwe dane, a w marcu dowiedzieliśmy się, że złośliwe oprogramowanie ukrywa się w symulatorach i aplikacjach obiecujących aktualizację do Androida Pie.

Ponad 200 aplikacji, ponad 440 mln pobrań

Badacze ds. bezpieczeństwa z firmy Lookout informują o 238 złośliwych aplikacjach, które zostały zatwierdzone przez Google i znalazły się w Google Play. Łącznie zostały one pobrane ponad 440 mln razy. Dokładnie ukryty złośliwy kod mógł sprawić, że urządzenia z Androidem stawały się prawie bezużyteczne.

Co ciekawe, wszystkie aplikacje zostały dostarczone przez chińską firmę CooTek. Zawierały one wtyczkę BeiTaAd, która tuż po instalacji pozostawała w uśpieniu. Celem było zmylenie użytkowników. Następnie, po opóźnieniu wynoszącym od 24 godzin do 14 dni, wtyczka zaczynała dostarczać niechcianych reklam.

Najpopularniejsza aplikacja przekroczyła 100 mln instalacji. (fot. blog.lookout.com)

Reklamy pojawiały się nawet poza aplikacjami. Ponadto, w wybranych przypadkach wyświetlane były podczas rozmów telefonicznych czy nawet na ekranie blokady. Uniemożliwiały odebranie połączenia czy korzystanie z innych aplikacji. Jakby tego było mało, reklamy zawierające audio i wideo były uruchamiane nawet nocą, gdy smartfon leżał zablokowany na biurku.

Początkowo wtyczka nie była aż tak dobrze ukryta w aplikacjach. Twórcy umieszczali ją jako niezaszyfrowany plik DEX, najczęściej o nazwie beita.renc. Następnie, aby uniknąć ewentualnego odkrycia, programiści zaczęli szyfrować wtyczkę i maskować wszystkie wystąpienia ciągu „BeiTa”. Możliwe, że właśnie to pozwoliło złośliwemu oprogramowaniu pozostać niezauważonym przez pół roku.

Google, po otrzymaniu raportu z firmy Lookout, zdecydował się na wyrzucenie ze sklepu wskazanych złośliwych aplikacji. Niektóre z nich otrzymały natomiast odpowiednią aktualizację, która usunęła złośliwą wtyczkę.

źródło: Lookout, Ars Technica