Google Play Protect

Google Play Protect jednak nie taki skuteczny – jeden malware, ponad sto aplikacji, miliony pobrań

Większość z Was odnotowała zapewne, że choć instalacja antywirusa na komputerze z systemem Windows jest wręcz standardową praktyką, tak jakakolwiek myśl o tego typu aplikacji na Androidzie na ogół zbywana jest śmiechem. Wystarczy, że będziesz uważny, instalował tylko aplikacje z Google Play, nie wchodził na dziwne strony i będzie dobrze. Nabieram jednak pewnych wątpliwości, skoro setki aplikacji z tym samym złośliwym kodem bez problemu przedarły się przez Google Play Protect i zdążyły zostać pobrane miliony razy zanim gigant z Mountain View w ogóle zorientował się, że coś jest nie tak.

Nieco ponad miesiąc temu do wszystkich z nas trafiła usługa Google Play Protect, która ma za zadanie prześwietlanie zainstalowanych na smartfonie aplikacji i informowanie użytkownika o każdym działaniu, które uzna za niepożądane. Na dodatek, całkiem niedawno wspominaliśmy o tym, że gigant z Mountain View planuje zaprząc do pracy machine learning w celu kontrolowania uprawnień aplikacji. Czy takie działania odniosły jakikolwiek skutek?

Aby dobrze zrozumieć ten problem, muszę rozpocząć od wyjaśnienia użytego w tytule terminu. Z połączenia angielskich słów malicious software (złośliwe oprogramowanie) utworzono jedno – malware. Pod tym określeniem kryje się pod nim każda aplikacja, skrypt czy linijka kodu, która ma działanie – ogólnie rzecz ujmując – szkodliwe dla użytkownika. I właśnie przed wszelakiego rodzaju malware miał chronić użytkowników Google Play Protect.

Zapomniano jednak o jednym, względnie prostym działaniu, które niektórzy nazywają „obfuskacja”. Zaciemnianie kodu, bo tak powinniśmy tłumaczyć to określenie, jest chyba całkiem proste do zdefiniowania jeżeli chodzi o malware – chodzi o takie przekształcenie aplikacji, aby jej „złośliwość” była niewykrywalna, ale wciąż aktywna. Wystarczyło właśnie zaciemnienie, aby do Google Play bez wątpienia przedostało się troszeczkę programów tego typu – jednym z nich jest chociażby aplikacja Lovely Wallpaper. Brzmi całkiem niewinnie, prawda? Spokojnie, to tylko pozory ;).

Spójrzcie tylko na powyższy zrzut ekranu – może gigant z Mountain View jest mało skuteczny, ale użytkownicy radzą sobie już trochę lepiej – nawet stosunkowo niewielka liczba ocen przekłada się na tak niską średnią, że każdy świadomy użytkownik Androida omijałby aplikację szerokim łukiem. Ale Śliczne Tapety są kierowane najprawdopodobniej do dzieci, które nie za bardzo rozumieją tego typu mechanizmy i łatwo skusić je na względnie chwytliwą nazwę i ładne grafiki.

Ten konkretny malware został nazwany ExpensiveWall na cześć właśnie powyższej aplikacji, ale został zaimplementowany do wielu z nich, a konkretniej rzecz ujmując – stu siedmiu, których łączna liczba pobrań wynosi między 6, a 21 milionów. Niektóre zarażone programy pojawiły się w Google Play ponad trzy lata temu!

No dobrze, ale o jakie zarażenie w ogóle chodzi?

Działanie ExpensiveWall jest bardzo proste – aplikacja wymusza od użytkownika uprawnienia wystarczające do zasubskrybowania usług premium, oczywiście z numeru telefonu przypisanego do włożonej do urządzenia karty SIM. Potem już z górki – czysty profit.

Dlaczego ExpensiveWall jest niebezpieczny? Po pierwsze – podobno sam kod jest na tyle „zmyślny”, że wystarczy tak naprawdę jego prosta modyfikacja, aby móc zrobić przy jego użyciu… cokolwiek. W tym przypadku chodziło o zysk czysto pieniężny, ale już chyba nawet to jest lepsze niż dostarczenie komuś dostępu do wykonywania zdjęć, nasłuchu przy użyciu mikrofonu czy zwykłego wglądu do wszystkich danych. Po drugie – te same uprawnienia dosyć często są wymagane przez aplikacje nie ze względu na złe zamiary dewelopera, a zwykłą konieczność, co zdążyło uśpić czujność wielu użytkowników.

Domyślacie się już zapewne, że sam wpis powstał przede wszystkim ku przestrodze – wszystko wskazuje na to, że większość (o ile nie wszystkie) aplikacje z ExpensiveWall zostały już usunięte, ale przecież to tylko jeden rodzaj malware, a może być ich nieskończenie wiele. W żadnym wypadku nie chodzi mi o to, aby reklamować Wam jakiekolwiek rozwiązanie antywirusowe na Androida – chodzi przede wszystkim o to, żebyście kontrolowali uprawnienia, jakie przyznajecie aplikacjom, a jeśli macie dzieci – być może warto nauczyć je, aby nie instalowały nic samodzielnie. W końcu wystarczy kilka błędnych kliknięć, aby z portfela wypłynęło dobrych kilkadziesiąt złotych, nie wspominając już nawet o całej gamie informacji prywatnych.

źródło: Blog CheckPoint via Android Police
grafika główna: Pixabay, Android