Sledujte nás na YouTube

ESET odhalil další malware v Google Play. Uživatele otravuje častým zobrazováním reklamy

Výzkumníci společnosti ESET objevili v obchodě s aplikacemi Google Play další nový malware. Jde o podvodné aplikace, které imitují populární „game cheats“, tedy podvodné zkratky k výhodám v populárních hrách Cheats for Pou, Guide for SubWay nebo Cheats for SubWay. Místo „cheatů“ však uživatele otravují tím, že každých 30 – 40 minut zobrazí přes celý displej reklamu. Do doby, než byl tento malware po upozornění společnosti ESET z obchodu odstraněn, dosáhl za jediný měsíc přes 200 tisíc stažení.

Na malwaru, který ESET detekuje jako Android/AdDisplay.Cheastom, jsou pozoruhodné jednak techniky, jimiž obchází mechanismy společnosti Google pro kontrolu aplikací, jednak agresivní obrana před pokusy o odinstalování.


Screenshot z Google Play s aplikací Guide for Subway předtím, než byla v reakci na zjištění ESETu odstraněna

Před odhalením skutečné funkcionality se tento malware chrání především tím, že po spuštění porovnává IP adresu přístroje, na němž běží, s databází údajů o doménách Whois. Pokud ve výsledcích vyhledávání najde řetězec „google“, tak to považuje za příznak toho, že je možná právě testován nástrojem Google Bouncer. V tom případě až do restartu přístroje nevyvíjí žádnou škodlivou aktivitu, ale funguje, jak uživatelé očekávají.

Pro zklamané uživatelé, jimž Android/AdDisplay.Cheastom zobrazuje agresivní reklamu,
je problémem se tohoto malware zbavit. Jeho autoři mu totiž vytvořili ochranný mechanismus: jednak po instalaci skryje svoji ikonu, což komplikuje nalezení, ale hlavně k instalaci vyžaduje administrátorská práva. „Pro odinstalování je potřeba administrátorská práva nejdříve odebrat, což pro mnoho uživatelů není zcela triviální,“ upozorňuje výzkumník ESETu Lukáš Štefanko, který se podílel na odhalení a analýze tohoto malware.

Odkaz na Google Play
Aplikaci ESET Mobile Security pro Android si můžete stáhnout z tohoto odkazu. Bezplatná verze je funkční po dobu 30 dní, prémiová verze stojí 372 Kč/rok.

Společnost ESET řadí Android/AdDisplay.Cheastom mezi takzvané „potenciálně nechtěné aplikace“. K jejich detekci a případně odstranění je potřeba mít zapnutou funkci detekce potenciálně nechtěných aplikací, která je v mobilní aplikaci dostupná v nabídce Antivirus -> Rozšířená nastavení.

Michal Javůrek

Nadšený fanoušek chytrých telefonů, počítačů a automobilů. Lyžař, běžec, plavec a náruživý biker, za každého počasí. Fanoušek metalu, který nepohrdne sklenkou dobrého vína u kvalitního filmu.

14 komentářů

  1. Je to jen zoufalý pokus prodat svůj produkt i tam, kde to není potřeba. Android je bezpečný a navíc open-source, takže se nikomu nemůže nic stát. Stačí jen bezhlavě všechno neodkliknout.

    • suckme (neregistrovaný)

      Mno, byt android user, tak si dovolim nesouhlasit. Der je tam celkem dost a to ze se takovahle app vubec muze objevit v obchode je trochu znepokujici.

      Sam si radeji kupuji aplikace nez jejich free verze a ackoliv si stahuji pouze aplikace, ktere opravdu potrebuji/chci (z her treba jen hearthstone a sudoku), tak i presto mam radsi na pozadi spusteny avast. Phone mi to nejak extra nebrzdi a jak se tak hezky rika: „better safe than sorry“…

    • Milan (neregistrovaný)

      Synu, mám z tebe radost!

    • zipiik (neregistrovaný)

      suckme: Jako uzivatel Androidu jsem si vedom, ze kazdy system ma diry a pokud instaluju, koukam, jaka prava po me aplikace chce. Cheatovaci aplikaci, ktera pozaduje prava roota si nainstaluje jen blbec. Proti tomu je bezbranny jakykoli system.

    • A který jiný systém umožní dát aplikaci práva roota?

    • zipiik (neregistrovaný)

      V zakladu zadny – WP, iOS ani Android. Pokud Android rootnete, tak pak samozrejme umi, podle me i iOS pokud ho jailbreaknete. WP breaknuty tusim neni, tak to nejde. Ale to neni chyba zadneho systemu, pokud aplikaci pod libovolnym Unixem date prava roota, tak se pak nesmite divit, ze ma pristup uplne vsude.

    • suckme (neregistrovaný)

      @Zipiik: v zasade souhlasim, problem je ale v tom, ze root si dnes udela podle navodu kazde 12-ti lete decko bez zakladnich znalosti co vlastne dela. To pak odklikne temer cokoliv, aniz by tusilo co si tim muze privodit.

      Problem proto hlavne vidim v tom, ze se prave takovahle appka dostane vubec do obchodu. Myslim ze google by si mel tohle trochu vic hlidat…

    • zipiik (neregistrovaný)

      Otazkou je, jak Play branit. Autori takoveho SW byvaji vzdycky krok vepredu. Verim, ze Google svuj testovaci nastroj zajisti proti detekci toho, ze aplikace bezi na testovacim serveru Googlu. Ale co dal? Zakazat na Play vsechny aplikace vyzadujici root? Spousta jich je uzitecnych. Vzdy tu pri instalaci aplikace s pravy roota jiste nebezpeci bude.

  2. MM (neregistrovaný)

    A jak se uzivatelum libi. Vzdyt tu apku tak pekne hodnoti.

  3. Martin P. (neregistrovaný)

    Pokud to zobrazuje reklamu není to malware ! Pokud je nějaký škodlivý program není to automaticky vir.

    Klasický fud z řad Sw společnosti.

  4. Samone (neregistrovaný)

    Tak je to obdobné jako na PC ve Windows. Hry a porno zdarma = záruka škodlivého kódu. Stahujete cracky, cheaty, warez apod.? Nedivte se, že máte zavirovaná zařízení. Je to jistá daň za krádež…

    • zipiik (neregistrovaný)

      Pokud si nekdo instaluje takovou aplikaci, ktera navic chce prava roota, tak se neni cemu divit. To je tak, kdyz rootuje „kazde male decko“, kteremu nedochazi, co root umoznuje.

  5. sebox (neregistrovaný)

    Když je někdo tak blbej a hamižnej, že si udělá root aby mohl nainstalovat takovou očividně podezřelou aplikaci (ehm..podívejte se jak to vypadalo na screenech s marketu :)) pro cheatovaní ve free hře (navíc ještě takové které mají hlavní „cíl“ jen zabíjet 5minut času na záchodě prováděním repetetivní činnosti) tak si zaslouží chytit malware co mu ten telefon vyrazí z ruky :)…co ti lidi jsou schopni nainstalovat za očividný malware jen za vidinu toho, že budou mít víc něčeho ve free splachovadle času jako Subway Surfers :P

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *