Skadlig programvara som sprids via den officiella Google Apps-butiken är inget nytt. Malwareutvecklare försöker alltid hitta nya sätt att täcka Googles försvar för att leverera sin nyttolast till intet ont anande användare. Medan majoriteten av dessa appar inte sprids för långt innan de fångas, lyckades en stam av skadlig kod fånga en tur på över 2 miljoner nedladdade appar innan den togs bort från marknaden. Detta har orsakat viss oro över hur Google besöker sina appar innan de distribueras till användarna.
Hur skadlig programvara fungerade
Den aktuella skadliga programvaran kallas “Andr / Clickr-ad”, och du kan få en allmän uppfattning om vad den gjorde med ensam namn. Tjugotvå appar laced med denna skadliga program, som sedan släpptes för allmänheten. Apparna själva var mycket funktionella och gjorde sina jobb bra, vilket innebär att människor skulle flockas till app-sidan för att ge den höga betyg och positiva recensioner, vilket sprider skadlig kod ytterligare.
När skadlig programvara kom in i ett system började det hämta annonser i telefonen och automatiskt klicka på dem för att få annonsintäkter för utvecklarna. Detta är ett typiskt steg för skadlig programvara för ad-clicker, men det som gjorde Clickr-Ad så skändligt var hur det täckte sina spår. Det maskerade två agenter för ad-clicker-skadlig programvara som vanligtvis fångar det innan det kan göra sitt jobb ordentligt: användaren av telefonen och reklamföretagen som används för att leverera annonser.
Användaren
Om ad-clicker-skadlig kod faktiskt visar en annons för användaren skjuter den sig själv i foten. En användare kommer att bli medveten om att annonser dyker upp på sin telefon och kommer att agera för att ta bort den. Nyckeln är att klippa ut användaren helt och hållet genom att inte tillåta användaren att lägga märke till annonsen, såväl som att klicka på annonsen själv.
Sättet Clickr-Ad löste detta problem var att den visade annonsen i en bakgrundswebbläsarram som var 0x0 pixlar i storlek. På det sättet hölls användarna i mörkret att en annons spelades. Den infekterade appen behövde inte ens vara öppen för att skadlig programvara skulle fungera – den skulle kunna dyka upp en ny annons varannan sekund under loppet av dagen och användaren skulle inte vara klokare. Det enda symptomet som användarna skulle märka var en ökning av batteriets urladdning från laddningsannonser.
Reklamföretagen
Annonserna som dessa annonsklickare använder kommer inte bara från ingenstans! De måste frågas från ett reklamföretag som sedan betalar för klicken. Om ett företag ser en app ständigt bryta ut annonser på en viss telefon kan det höja ögonbrynen och få dem att rätta till problemet.
För att undvika detta gör skadlig programvara anpassade frågor till reklamföretagen. Det kan hävda att det kör en annons på antingen Android eller iOS, samt slumpmässigt välja en enhets- och appnamn. På detta sätt ser företaget olika frågor från olika telefoner snarare än flera frågor från en app.
De infekterade apparna
Med Clickr-Ad’s lömska taktik skulle användarna vara hårt pressade att märka att deras enhet tjänade utvecklarens pengar. Skadlig programvara fungerade oavsett om appen var öppen eller inte, så även om användarna märkte det ökade batteriets tömning skulle de inte veta vad som exakt gjorde skadan. Som ett resultat gick apparna i flera månader innan de identifierades som skadlig programvara.
Som vi redogjorde för ovan, sammanfogades totalt 22 appar med denna skadliga programvara, varav en slog 1 miljon nedladdningar av sig själv. Om du har laddat ner någon av de appar som listas på längst ner i Sophos News-artikeln om skadlig programvara, se till att ta bort den ASAP.
Lägga till annonser
Eftersom mobil skadlig programvara är en stor affär, hittar skadliga programutvecklare alltid sätt att smyga den på människors enheter. Denna speciella attack var mycket bred, så se till att ta bort appen om du hittar den på någon av dina enheter.
Hur bekymrad är du över infekterad skadlig kod som så enkelt laddas ner från officiella appbutiker? Låt oss veta nedan.
Bildkredit: Sophos