Kenkėjiška programa įsiskverbė į 60 „Google Play“ programėlių ir paveikė 100 mln. įrenginių

parašė Gabrielė E. Hall - - 2023-04-21

Kenkėjiškos programos įsiskverbia į „Google Play“ per teisėtas programas

Kenkėjiška programa įsiskverbė į 60 „Google Play“ programėlių ir paveikė 100 mln. įrenginių Apie 100 mln. įrenginių atsisiuntė paveiktas programėles.

Nauja „Android“ kenkėjiška programa, žinoma „Goldoson“ vardu, spėjo įsiskverbti į „Google Play“ per 60 teisėtų programų, kurios buvo atsisiųstos 100 mln. kartų. Kaip teigia „Goldoson“ atradusi „McAfee“ tyrėjų komanda^[1], ši kenkėjiška programa gali rinkti duomenis apie įdiegtas programas, per „WiFi“ ir „Bluetooth“ prijungtus įrenginius bei vartotojo GPS vietą. Ji taip pat gali sukčiauti fone^[2], naudotojui to visiškai nesuprantant, spaudinėdama skelbimus.

Deja, tai ne pirmas kartas, kai kenkėjiška programa sugeba patekti į „Google Play“ parduotuvę. Nepaisant daugybės „Google“ saugos priemonių, skirtų užkirsti kelią kenkėjiškų programų plitimui, kibernetiniai nusikaltėliai ir toliau ieško būdų, kaip jas apeiti. Šis incidentas tik dar sykį pabrėžia, jog yra labai svarbu, kad augtų programų kūrėjų ir naudotojų budrumas, nes tik tokiu būdu įmanoma išvengti panašių atakų.

Į savo programas įtraukdami trečiųjų šalių bibliotekas, kūrėjai turi būti itin atsargūs. Šis incidentas parodo, kaip kenkėjiškos programos gali lengvai įsiskverbti į teisėtas programas, jei kūrėjai nesiima atsargumo priemonių prieš įtraukdami trečiosios šalies kodą. Naudotojai taip pat turėtų būti atsargūs atsisiųsdami programas, ypač iš nežinomų kūrėjų arba tas, kurioms reikalingi platūs, daug skirtingų sričių apimantys leidimai.

Kaip veikia „Goldoson“ kenkėjiška programa

Kai vartotojas paleidžia „Goldoson“ turinčią programėlę, biblioteka užregistruoja įrenginį ir gauna jo konfigūraciją iš užmaskuoto nuotolinio serverio. Konfigūracija nurodo, kurias duomenų vagystės ir skelbimų spustelėjimo funkcijas „Goldoson“ turi atlikti užkrėstame įrenginyje ir kaip dažnai tą turėtų padaryti.

Duomenų rinkimo funkcija paprastai nustatoma taip, kad ji aktyvuotųsi kas dvi dienas, siunčiant į C2 serverį įdiegtų programėlių sąrašą, geografinių vietovių istoriją, per „Bluetooth“ ir „WiFi“ prijungtų įrenginių MAC adresus ir kitą svarbią informaciją. Surenkamų duomenų kiekį lemia instaliavimo metu užkrėstai programai suteikiami leidimai bei „Android“ versija.

Nors „Android 11“ ir naujesnės versijos yra geriau apsaugotos nuo savavališko duomenų rinkimo, „McAfee“ išsiaiškino, kad „Goldoson“ turėjo pakankamai leidimų rinkti neskelbtinus duomenis net naujausiose OS versijose. Tiesa, tokia galimybė buvo ne visose, o 10% programų. Pajamos iš skelbimų generuojamos įkeliant HTML kodą ir įvedant jį į tinkintą paslėptą žiniatinklio rodinį, o tada naudojant jį atliekant kelis apsilankymus į tam tikrą URL.

Kadangi auka savo įrenginyje nemato jokių šios veiklos požymių, tai ypač klastinga kenkėjiška programa. Ji sėkmingai veikia fone, renka duomenis ir spustelėja skelbimus be vartotojo žinios.

Kaip sutvarkyti įrenginius ir ateityje apsisaugoti nuo panašių atvejų

Naudotojai, kurie atsisiuntė paveiktą programą iš „Google Play“, gali sumažinti riziką įdiegę naujausią galimą atnaujinimą^[3]. Tačiau „Goldoson“ taip pat galima rasti trečiųjų šalių „Android“ programėlių parduotuvėse, ir tikimybė, kad jose vis dar bus kenkėjiška biblioteka, yra gan didelė.

Įrenginio kaitimas, greitas akumuliatoriaus išsikrovimas ir neįprastai didelis interneto duomenų naudojimas, net kai įrenginys nenaudojamas, yra greičiausiai pastebimi reklaminių ir kenkėjiškų programų užsikrėtimo požymiai. Vartotojai turėtų atkreipti dėmesį į šiuos simptomus ir stebėti savo įrenginius.

Šis incidentas pabrėžia padidintų, nuolat atnaujinamų saugos priemonių vertę tiek programų kūrėjams, tiek ir „Google Play“ bei „Android“ naudotojams. Trečiųjų šalių bibliotekas kūrėjai turėtų naudoti atsargiai, o „Google Play“ turėtų įgyvendinti griežtesnę politiką, kad kenkėjiškos programos nepatektų į šią parduotuvę.

Savo ruožtu „Android“ naudotojai turėtų būti atsargūs atsisiųsdami programas, ypač iš nežinomų kūrėjų arba tas, kurioms reikalingi skirtingi, daug sričių apimantys leidimai. Tik bendradarbiaujant ir visiems išliekant budriems, galime užkirsti kelią panašiems incidentams ateityje.

Apie autorių

Gabriel E. Hall - Entuziastinga virusų tyrėja

Gabrielė E. Hall yra entuziastinga virusų tyrėja, kuri dirba Virusai.lt portale beveik dešimtmetį.

Susisiekite su Gabriel E. Hall
Apie kompaniją Esolutions

Šaltiniai

^ Goldoson: Privacy-invasive and Clicker Android Adware found in popular apps in South Korea. Mcafee. Security Solutions.
^ What is ad fraud? | Ad click fraud. Cloudflare. Learning Center.
^ How to update the Play Store & apps on Android. Google. Google Play Help.