Złośliwe aplikacje na Androida pobrane z Google Play ponad 20 milionów razy

Jak działał malware?

Złośliwa funkcja została znaleziona w przydatnych aplikacjach narzędziowych takich jak Flashlight (Torch), czytniki QR, Camara, konwertery jednostek i menedżery zadań:

Uruchomiona aplikacja ściąga swoją zdalną konfigurację, wykonując żądanie HTTP. Po pobraniu konfiguracji rejestruje odbiornik FCM (Firebase Cloud Messaging) dla komunikatów push. Na pierwszy rzut oka wydaje się, że jest to poprawnie wykonane oprogramowanie dla Androida i spełnia swoją założoną funkcjonalność (stąd te dobre oceny). Jednak ukrywa za sobą funkcje wykorzystania urządzenia do zysków reklamowych, uzbrojone w zdalną konfigurację i techniki FCM.

Komunikat FCM zawiera różne rodzaje informacji, w tym którą funkcję i z jakimi parametrami należy wywołać. Poniższy obrazek pokazuje część historii wiadomości FCM:

Gdy wiadomość FCM zostanie odebrana i spełni pewien warunek, ukryta funkcja zaczyna działać. Głównie jest to odwiedzanie stron internetowych dostarczanych przez komunikat FCM i ich sukcesywne przeglądanie w tle, naśladujące zachowanie użytkownika. Może to powodować duży ruch sieciowy i zużywać energię bez świadomości właściciela urządzenia, w czasie gdy generuje on zysk dla atakującego. Na poniższym obrazku znajduje się przykład ruchu sieciowego generowanego w celu uzyskania informacji wymaganych do stworzenia fałszywych kliknięć oraz stron odwiedzanych bez zgody lub interakcji użytkownika:

Do tej pory zidentyfikowano dwa fragmenty kodu związane z tym zagrożeniem. Jednym z nich jest biblioteka „com.click.cas”, która skupia się na funkcji automatycznego klikania, drugim – biblioteka „com.liveposting”, działająca jako agent i uruchamiająca ukryte usługi adware.

Niektóre wersje aplikacji mają obie biblioteki współpracujące ze sobą, podczas gdy inne posiadają tylko bibliotekę „com.liveposting”. Złośliwe oprogramowanie wykorzystuje odpowiedni czas instalacji i losowe opóźnienia, aby uniknąć zauważenia przez użytkowników swoich złośliwych działań. Ukryta funkcja nie rozpocznie się, jeśli czas instalacji przypada w ciągu dnia lub w trakcie pracy, gdy użytkownik korzysta z urządzenia – prawdopodobnie po to, aby pozostać niezauważonym. Poniżej widzimy ten warunek w kodzie:

Podsumowanie

Szkodliwe oprogramowanie typu „clicker” celuje w nielegalne przychody z reklam i może zakłócić ekosystem ich personalizacji na zainfekowanym urządzeniu. Złośliwe zachowanie jest sprytnie ukryte. Działania takie jak pobieranie informacji o adresach URL indeksowanych za pomocą wiadomości FCM rozpoczynają się w tle po pewnym czasie i nie są widoczne dla użytkownika.

Co zalecamy w związku z opisaną sytuacją? Najlepiej nie pobierać i nie instalować na urządzeniach zbędnych aplikacji. Ograniczenie ich liczby do minimum pozwoli zmniejszyć ryzyko infekcji malware, zwiększyć czas pracy baterii, a nawet przyspieszyć działanie telefonu czy sieci komórkowej.