Kompanija za cyber sigurnost Avast u nedavnom je izvješću upozorila na postojanje ‘stotina’ jeftinih Androida koji nemaju Googleov certifikat te koji dolaze sa prethodno instaliranim zlonamjernim softverom.
Pretpostavimo da ste oprezni kada surfate webom i pazite kakve aplikacije instalirate, no zamislite situaciju u kojoj vaš nov novcati uređaj stigne sa prethodno instaliranim malwareom? Avast tvrdi da je ovo slučaj s velikim brojem Androida, a glavni krivci su jeftini modeli iz ZTE-a, Archosa i myPhonea. Korisnici ugroženih uređaja zbog ovoga nailaze hrpe reklama i niz sličnih smetnji, a pošto je softver instaliran na razini firmwarea, strahovito ga je teško izbrisati.
Kad proizvođač zezne stvar
Ovo nije prvi put da je hardver stigao sa predinstaliranim ‘zločestim’ aplikacijama – najbolji primjer je Lenovo i njihova poznata isporuka malwarea ‘Superfish‘ u velikom broju potpuno novih PC-ja. Pošto puno više ljudi koristi Android, donekle je logično zaključiti da ovakva kriza ugrožava puno veći broj potencijalnih korisnika – pogotovo onih koji nemaju novac za kupnju certificiranih Androida, piše Tportal.hr.
Kako ovaj malware funkcionira?
Trenutno postoji nekoliko različitih varijanti Android malwarea, no svi rade na isti način. Inficirane aplikacije pod imenom dropperi instaliraju se u listu sistemskih aplikacija u sklopu postavki uređaja. Oni downloadaju malu datoteku pod imenom manifest koja aplikaciji kaže koje druge podatke treba skinuti. Uređaj nakon ovoga downloada i instalira APK s web adrese iz manifesta te ju aktivira putem standardne Android komande. Za kraj, on pokrene ‘payload’.
‘Payload’ APK sadrži Googleove, Facebookove i Baiduove reklamne frameworkove. On može prepoznati bilo koji antivirus, nakon čega se ‘prikrije’ kako ga ovaj ne bi prepoznao, pišu iz Avasta. Ako ne pokrećete antivirus, malware će vas zatrpavati reklamama i sumnjivim igrama dok surfate internetom. Ovo je samo po sebi grozno, makar nije usporedivo sa užasima koji korsnike mogu snaći ako su instalirali bilo koju od predloženih igara.
Najugroženija tržišta
Zemlje u kojima je ova vrsta malwarea najprisutnija su Rusija, Italija, Njemačka, Engleska i Francuska. Avast je uspio ugasiti izvorni dropper, no on je relativno brzo vraćen putem drugog proslužitelja. Serveri za adwaresu i dalje u pogonu, s time da sve veći broj korisnika prigovara na zlonamjerne reklame.
Avast je stupio u kontakt sa Googleom koji je ‘sproveo korake potrebne za suzbijanje zloćudnih značajki brojnih varijanti zaraženog softvera na ugroženim uređajima korištenjem vlastitih tehnologija’. Google Play će, tvrde, automatski onesposobiti dropper i payload, ako on postoji.
Još jedno rješenje je koristiti antivirus za mobilne uređaje koji, pogodili ste, nudi sam Avast.
Pretpostavimo da ste oprezni kada surfate webom i pazite kakve aplikacije instalirate, no zamislite situaciju u kojoj vaš nov novcati uređaj stigne sa prethodno instaliranim malwareom? Avast tvrdi da je ovo slučaj s velikim brojem Androida, a glavni krivci su jeftini modeli iz ZTE-a, Archosa i myPhonea. Korisnici ugroženih uređaja zbog ovoga nailaze hrpe reklama i niz sličnih smetnji, a pošto je softver instaliran na razini firmwarea, strahovito ga je teško izbrisati.
Kad proizvođač zezne stvar
Ovo nije prvi put da je hardver stigao sa predinstaliranim ‘zločestim’ aplikacijama – najbolji primjer je Lenovo i njihova poznata isporuka malwarea ‘Superfish‘ u velikom broju potpuno novih PC-ja. Pošto puno više ljudi koristi Android, donekle je logično zaključiti da ovakva kriza ugrožava puno veći broj potencijalnih korisnika – pogotovo onih koji nemaju novac za kupnju certificiranih Androida, piše Tportal.hr.
Kako ovaj malware funkcionira?
Trenutno postoji nekoliko različitih varijanti Android malwarea, no svi rade na isti način. Inficirane aplikacije pod imenom dropperi instaliraju se u listu sistemskih aplikacija u sklopu postavki uređaja. Oni downloadaju malu datoteku pod imenom manifest koja aplikaciji kaže koje druge podatke treba skinuti. Uređaj nakon ovoga downloada i instalira APK s web adrese iz manifesta te ju aktivira putem standardne Android komande. Za kraj, on pokrene ‘payload’.
‘Payload’ APK sadrži Googleove, Facebookove i Baiduove reklamne frameworkove. On može prepoznati bilo koji antivirus, nakon čega se ‘prikrije’ kako ga ovaj ne bi prepoznao, pišu iz Avasta. Ako ne pokrećete antivirus, malware će vas zatrpavati reklamama i sumnjivim igrama dok surfate internetom. Ovo je samo po sebi grozno, makar nije usporedivo sa užasima koji korsnike mogu snaći ako su instalirali bilo koju od predloženih igara.
Najugroženija tržišta
Zemlje u kojima je ova vrsta malwarea najprisutnija su Rusija, Italija, Njemačka, Engleska i Francuska. Avast je uspio ugasiti izvorni dropper, no on je relativno brzo vraćen putem drugog proslužitelja. Serveri za adwaresu i dalje u pogonu, s time da sve veći broj korisnika prigovara na zlonamjerne reklame.
Avast je stupio u kontakt sa Googleom koji je ‘sproveo korake potrebne za suzbijanje zloćudnih značajki brojnih varijanti zaraženog softvera na ugroženim uređajima korištenjem vlastitih tehnologija’. Google Play će, tvrde, automatski onesposobiti dropper i payload, ako on postoji.
Još jedno rješenje je koristiti antivirus za mobilne uređaje koji, pogodili ste, nudi sam Avast.