Aplikace přezdívaná Android.Counterclank byla součástí třinácti různých aplikací tří různých vydavatelů. Nakažené aplikace měly názvy „Sexy Girls Puzzle“ či „Counter Strike Ground Force.“ Několik z těchto nakažených aplikací zůstalo na Android Market až do pátku, než byly staženy.
„Vypadá to, že se nejedná o skutečné vydavatele,“ říká ředitel oddělení bezpečnosti společnosti Symantec, Kevin Haley, „nejsou to převzaté aplikace, jako tomu bývalo v minulosti.“
Kevin Haley měl na mysli běžnou techniku, kterou „výrobci" malware užívají. Smyslem je pouze „přebalit“ vybranou aplikaci a doplnit ji o škodlivý software a poté ji umístit na stránky internetového obchodu (např. Android Market). Uživatelé někdy rozdíl nezaznamenají a aplikaci si stáhnou. Společnost Symantec předpokládá, že rozdílný počet stažení všech třinácti aplikací z Android Market postihl minimálně jeden a maximálně pět milionů uživatelů. „Jedná se o nějvětší rozšíření malware na Android Market,“ řekl Haley.
Android.Counterclank je vlastně Trojský kůň, který po nainstalování do Androida sbírá různé informace, včetně kopií záložek a výrobce. Také dokáže modifikovat domácí stránku prohlížeče. Hackerům se podařilo malware zpěněžit protlačením nechtěných reklam do nechráněných smartphonů i přesto, že infikované aplikace si při instalaci vyžádají až nezvykle velká privilegia, která musí uživatel schválit. Podle Haleyho se ovšem většina uživtelů vůbec neobtěžuje si je přečíst.
„Pokud byste byli alespoň malinko podezřívaví, možná byste se zamysleli nad tím, proč po vás aplikace požaduje právo na modifikaci prohlížeče nebo přenos GPS souřadnic, uživatelé se tímto bohužel nezatěžují.“
Android.Counterclank je variací na starší verzi Trojského koně Android.Tonclank, který byl objeven v červnu 2011. Několik aplikací, které Symantec identifikoval jako nakažené zůstalo na Android Market nejméně měsíc. Symantec je bohužel odhalil pouze před několika dny.
Uživatelé si něčeho podezřelé všimli již dříve. „Hra je celkem v pořádku, ale pokaždí, když ji zpustím, se na jedné ze čtyř obrazovek náhodně objeví ikona vyhledávání,“ řekl o aplikaci jeden z uživatelů již 16. ledna. Stáhnul si aplikaci Deal & Be Millionaire, která byla označena jako jedna z 13 nakažených. „I když ikonu smažu, stejně se zase objeví. Pokud na ikonu ťuknete, dostanete se na stránku, která velmi nápadně připomíná domovskou stránku Google.“ Uživatelé hře dali velmi nízké hodnocení. Všech třináct aplikací bylo k dipozici ke stažení zcela zdarma. Pracovníci Symantecu Google sdělili své odhalení, Google na otázky o bezpečnosti daných aplikací nicméně neodpověděl okamžitě.
Dle slov Kevina Haleyho pátrají pracovníci Symantecu po dalších aplikacích a dodal, že společnost zveřejní více informací o hrozbě, jakmile získá více detailů. Co je na cel věci zajímavé je fakt, že místo aby autoři malware použili skutečnou aplikaci, vytvořili aplikaci podobnou, „vylepšenou“ navíc o škodlivý software. Symantec zveřejnil seznam nakažených aplikací na svých stránkách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU