Hur Advertising Malware infekterade 500k användare via Google Play Apps
När ämnet för app-säkerhet kommer upp finns det ett råd som ständigt uppstår - "Hämta alltid appar från den officiella appbutiken." Medan det här är det bästa rådet är det tyvärr inte helt idiotiskt! Appar laddas fortfarande upp som kjol runt APK-butikens virusdetekteringssystem. Det här gäller malware som heter Andr / HiddnAd-AJ, som lyckades smyga sig in i appbutiken och smittade 500 000 enheter innan den fångades.
Hur hände det här?
Varje gång kommer en app att smuggla sin skadliga program så bra att Googles anti-malware-tjänst Play Protect inte kommer att fånga den. Faktum är att åtminstone en av programmen hade godkännandet "Verified by Play Protect" för att de var fria från skadlig kod innan de togs ner.
Utvecklarna lyckades smuggla malware i programvarans kod genom att det ser ut som oskyldig Android-systemkod. För någon som ger en kortfattad blick över källkoden var det inte någonting omedelbart misstänksamt, vilket gjorde det svårare att identifiera skadlig programvara installerad inom.
Trots detta finns det ett andra lager av försvar som appbutiken har mot skadlig kod: användarna själva. Om en användare hämtar en app som är infekterad med skadlig programvara, kan de rapportera appen för borttagning. Utvecklarens andra angreppsmetod är därför att försäkra att skadlig programvara inte aktiveras direkt. En gång installerat på enheten väntade den här skadliga programvaran i sex timmar innan den kom till handling. Det här är ungefär tillräckligt med tid för användaren att någonting glömmer appen de installerade och täcker appens spår bättre.
Detta malwarepaket bäddes sedan i sju appar - sex QR-skannrar och en smart kompass. Apparna utför sina annonserade funktioner perfekt för att inte väcka misstanke. Det är först efter sex timmars markering dessa oskyldiga applikationer plötsligt morphed till något mycket värre! Lyckligtvis är dessa appar nu borttagna från marknaden. Medan en fullständig lista över varje infekterad app inte har släppts, visar den här bilden från Sophos en handfull av dem:
Vad gör skadlig programvara?
Skadetillverkaren själv, "Andr / HiddnAd-AJ", gör vad namnet antyder; det döljer sig i användarens telefon och börjar producera annonser efter sex timmars betyg. Dessa sträcker sig från fullskärmsannonser till meddelanden i anmälningsfältet. Malware har också kapacitet att "ringa hem" till utvecklarna, vilket gör att de kan styra skadlig programmets annonskampanj om det behövs.
Utöver detta finns det inget bevis för att malware stjäl information eller försöker skada din telefon. Som sådan, medan malware är definitivt mycket frustrerande, finns det inget behov av omedelbar panik om den slår till.
Hur tar du bort det?
Om du har drabbats av den här skadliga programvaran, eller om du tror att du har smittats av skadlig kod i allmänhet, är det värt att ta en solid antiviruslösning som kan identifiera och lösa problemet. Det finns ett brett utbud av antivirustjänster på Android, vissa är mer effektiva än andra. Vi har personligen valt våra fem bästa val för Android-antivirus om du vill ha något som är garanterat att fungera!
Malware No More
Trots att det är den säkraste platsen för att få Android-appar, är Play-butiken inte perfekt! Med den senaste attacken från sju appar laddade med skadlig kod är det en skarp påminnelse om att vara försiktig med vad vi laddar ner. Nu vet du om detta hot, hur det slog och hur man tar bort det.
Gör det dig mer misstänkt för appar på appaffären? Låt oss veta nedan!
Bildkrediter: Blogtrepreneur på Flickr