25 de milioane de telefoane cu Android au fost infectate cu programe malware care inlocuiesc aplicatiile instalate precum WhatsApp cu versiuni care servesc reclame, au avertizat cercetatorii de la cybersecurity.
Numit Agent Smith, malware-ul abuzeaza de slabiciunile cunoscute anterior in sistemul de operare Android, facand o actualizare a celei mai recente versiuni patch-uri a sistemului de operare Google o prioritate, a spus compania de securitate israeliene Check Point.
Majoritatea victimelor se afla in India, unde au fost infectate circa 15 milioane de persoane. Dar exista mai mult de 300.000 in S.U.A., cu inca 137.000 in Marea Britanie, ceea ce o face ca una din cele mai grave amenintari care a lovit sistemul de operare Google in ultima vreme.
Malware-ul s-a raspandit prin intermediul app store-ului 9apps.com , care este detinut de Alibaba din China, si nu de magazinul oficial Google Play. In mod obisnuit, astfel de atacuri non-Google Play se concentreaza asupra tarilor in curs de dezvoltare, ceea ce face ca succesul hackerilor in S.U.A. si in Regatul Unit sa fie mai remarcabil, a spus Check Point.
In timp ce aplicatiile inlocuite vor servi reclame rau intentionate, oricine se afla in spatele hack-urilor ar putea face mai rau, a avertizat Check Point intr-un blog. “Datorita abilitatii sale de a ascunde pictograma de la lansator si care impersonalizeaza orice aplicatii existente pe un dispozitiv, exista nenumarate posibilitati ca acest tip de malware sa dauneze dispozitivului utilizatorului”, au scris cercetatorii.
Au spus ca au avertizat compania Google si agentiile de aplicare a legii. Google nu a oferit comentarii in momentul publicarii.
De obicei, atacul functioneaza dupa cum urmeaza: utilizatorii descarca o aplicatie din magazin – de obicei, utilitate pentru fotografie, jocuri sau aplicatii tematice pentru adulti. Aceasta aplicatie instaleaza in tacere malware-ul, deghizat ca un instrument legitim de actualizare Google. Nu apare nici o pictograma pe ecran, facand-o chiar mai secreta. Aplicatiile legitime – de la WhatsApp la browser-ul Opera si multe altele – sunt apoi inlocuite cu o actualizare pentru a afisa adware. Cercetatorii spun ca anunturile in sine nu au fost rau intentionate in sine. Dar intr-o schema tipica de fraudare a anunturilor, fiecare clic pe un anunt injectat va trimite banii inapoi la hackeri, ca pe un sistem tipic de plati per clic.
Exista indicii ca atacatorii intentioneaza sa se mute la Google Play. Cercetatorii Check Point au declarat ca au gasit 11 aplicatii in magazinul Google, care contineau o bucata “inactiva” a software-ului hackerilor. Google a inlaturat rapid aceste aplicatii.
Check Point considera ca o companie chineza anonima cu sediul in Guangzhou a construit malware-ul in timp ce opereaza o afacere care ii ajuta pe dezvoltatorii chinezi Android sa isi promoveze aplicatiile pe platforme mari.
Alibaba nu a raspuns la o solicitare de comentarii cu privire la proliferarea malware-ului pe platforma 9apps in momentul publicarii.
Deci, ce pot face proprietarii de telefoane cu Android? Directorul de analiza si raspuns informatic al lui Check Point, Aviran Hazum, a spus ca, daca utilizatorii experimenteaza reclame afisate in momente ciudate, cum ar fi cand deschid WhatsApp, ar trebui sa ia masuri. WhatsApp legitim, desigur, nu difuzeaza anunturi.
Mai intai, accesati setarile Android, apoi sectiunea Aplicatii si notificari. Apoi, accesati lista de informatii despre aplicatie si cautati aplicatii suspecte cu nume precum Google Updater, Google Installer for U, Google Powers si Google Installer. Faceti clic pe aplicatia suspecta si alegeti sa o dezinstalati.
In caz contrar, ramanerea departe de magazinele de aplicatii Android neoficiale ar putea ajuta, avand in vedere protectia suplimentara oferita de Google pentru a impiedica accesarea malware-ului pe site. Nu ca eforturile Google ar fi intotdeauna rasplatite. La inceputul acestei saptamani, a aparut un avertisment cu privire la raspandirea malware-ului Android pe Google Play, care a inregistrat sesiunile bancare ale utilizatorilor.