Malware tajně odesílá drahé SMS, dostal se i do Google Play
17.9.2017, Jáchym Šlik, aktualita
Ani bezpečnostní štít Googlu neochránil uživatele před nebezpečným malwarem ExpensiveWall, který byl ukryt v několika desítkách aplikací s miliony staženími. K obohacení útočníků využívá tzv. Premium SMS.
Miliony uživatelů si na svůj smartphone s Androidem nevědomky stáhly malware, na který upozorňuje společnost Check Point. Bezpečnostní hrozba dostala pro snadnější orientaci označení ExpensiveWall, což můžeme volně přeložit jako „drahá tapeta“. Označení vychází z názvu aplikace Lovely Wallpaper, jež byla jednou z těch, pomocí které útočníci šířili svůj malware. Kromě slibovaných roztomilých pozadí se uživatelé dočkali škodlivého kódu, který jim mohl přinést nečekané výdaje.
Tentokrát nepomohlo ani jedno ze základních bezpečnostních opatření, a to nestahovat aplikace mimo ověřené zdroje. ExpensiveWall se totiž objevil v oficiálním obchodu Google Play Store, kde bylo objeveno minimálně pět desítek infikovaných aplikací. Jedná se přitom o různorodou škálu titulů zahrnujícíh například aplikace zabývající se pozadím, fotografiemi, oředpovědí počasí či sadou nástrojů. Některé z nich přitom dosáhly stovek tisíc, nebo dokonce několika milionů stažení. A zajímavý je také fakt, že jen část aplikací byla do Google Play Store nahrána v poslední době, mnoho titulů pochází z roku 2015 či 2016, ale v té době nejspíš ještě neobsahovaly malware.
Útočníci zabalily malware do aplikací tak, že bez problémů prošly bezpečnostní kontrolou v Obchodě Play. Společnost Check Point přitom o hrozbě okamžitě informovala Google, který nalezené vzorky okamžitě odstranil, nedlouho poté se však útočníkům podařilo stejný škodlivý kód znovu propašovat, jen jinak zamaskovaný. Při instalaci požádá infikovaná aplikace o oprávnění k internetovému připojení a posílání SMS zpráv, což není zase nic tak neobvyklého. První oprávnění umožní aplikaci přístup k řídícímu serveru, kam jsou odesílány informace o zařízení včetně polohy, IP adresy nebo IMEI.
Jakmile dojde k zapnutí telefonu nebo aktivaci internetového připojení, je ze serveru přijata URL adresa, kterou si aplikace otevře na pozadí a prostřednictvím škodlivého kódu JavaScript přihlásí telefonní číslo uživatele k placeným službám, jako je předplatné různých her. V jiných případech jsou bez vědomí uživatele odesílány tzv. Premium SMS, a to buď zcela v pozadí, nebo po kliknutí na tlačítko „Pokračovat“, které je však prezentováno ve zcela jiném kontextu.
Zdroj: Blog.checkpoint.com