Зловреден софтуер бил инсталиран над 11 000 000 Android устройства
Компанията за киберсигурност Kaspersky сигнализира, че нова версия на известна зловредна стратегия е била конфигурирана на над 11 милиона Android устройства посредством магазина Гугъл Play. Става въпрос за Necro – опасност, която се популяризира от 2019.
Основният вектор на разпространяване е бил посредством комплекти за разработка на рекламен програмен продукт, употребен от Гугъл Play. Но по този начин също и посредством гейм модификации, подправени версии на известни приложения и игри, налични посредством неофициални магазини за мобилни приложения. Така да вземем за пример, приложение с името Wuta Camera е било свалено над 10 милиона пъти от магазина Android на Гугъл. Друго такова – Max Browser – има над един милион сваляния. И двете към този момент са отстранени от Гугъл Play. И двете приложения, привеждат Kaspersky са били инфектирани от злотворен рекламен SDK с името Coral SDK. Комплектът изолзва сполучливи обфускационни техники за прикриване на зловредния си темперамент. Отделно от това, зловредната стратегия употребява стеганография посредством shellPlugin, прикривайки се като безобидно изображение.
След като устройството бъде инфектирано, опасността показва реклами в невидими прозорци, а по-късно кликва върху тях. Следва свалянето на осъществим файл, който конфигурира външни приложения и отваря случайни връзки в невидими прозорци, които извършват JavaScript код. В други случаи, опасността абонира устройството за скъпоструващи услуги. Регистрирани са и случаи, в които тя пренасочва интернет трафика посредством инфектирани устройства, употребявайки ги като проксита.
Кейти Тетлър-Сантуло разяснява за SilliconAngle, че притежателите на устройствата няма какво да създадат в тази ситуация. Но при разработчиците не е по този начин. Специалистът от OX Appsec Security поучава разработчиците постоянно да ревизират SDK комплектите за годни цифрови документи. А също по този начин да се твърдят, че идват от надеждни и тествани източници. „ Сканирането на изходния код за зловредно наличие и забранен достъп оказва помощ на разработчиците да видят дали кодът е променян “.
