Chociaż niedawno informowaliśmy o znalezieniu w sklepie Google Play 20 aplikacji podszywających się pod paczki modów do Minecrafta — najpopularniejszej gry, która została pobrana ponad milion razy — tego rodzaju szkodliwe oprogramowanie nadal pojawia się w tym sklepie. Zamiast robić to, do czego teoretycznie służą, aplikacje te przekształcały smartfony i tablety użytkowników w niezwykle natrętne narzędzia do wyświetlania reklam.
Z punktu widzenia użytkownika aplikacje te były całkowicie bezużyteczne. Po pierwszym uruchomieniu ukrywały swoje ikony i wielokrotnie otwierały przeglądarkę, aby wyświetlać reklamy. Mogły również odtwarzać filmy na YouTubie, otwierać strony aplikacji w sklepie Google Play itd. Na przykład wersja, którą przeanalizowaliśmy, otwierała przeglądarkę co dwie minuty, przez co urządzenia stawało się w zasadzie bezużyteczne. Było to tym bardziej irytujące, że użytkownikowi było bardzo trudno zorientować się, co się dzieje, a także która aplikacja jest odpowiedzialna za te niedogodności i jak ją zatrzymać.
O naszym znalezisku powiadomiliśmy firmę Google, która szybko usunęła szkodliwe aplikacje ze swojego sklepu.
Nowe wersje złośliwych aplikacji
Sam fakt usunięcia ich ze sklepu z aplikacjami firmy Google niekoniecznie oznacza, że wojna jest wygrana — twórcy takich programów z pewnością umieszczą w tym zasobie nowe, nieco zmodyfikowane wersje pod inną nazwą i z innego konta dewelopera.
Jednym z przykładów tego cyklu jest trojan VK Music, który ukradł konta użytkowników rosyjskiej sieci społecznościowej VK i, mimo że o sprawie było głośno, wkradł się do sklepu Google Play na kilka lat.
Mając to na uwadze, postanowiliśmy ponownie sprawdzić, jak wygląda sprawa szkodliwych paczek modów do Minecrafta w sklepie Google Play. Chcieliśmy dowiedzieć się, czy nasza interwencja pomogła, więc wyszukaliśmy podobne aplikacje i… naszym oczom ukazało się kilka egzemplarzy.
Nowe, ulepszone wersje
Najpierw znaleźliśmy kilka aplikacji, które miały pewne ulepszenia. W podstawowym scenariuszu aplikacje akceptują polecenia w postaci wiadomości push wysyłanych przez osoby atakujące, które instruują je, aby wyświetlały reklamy w trybie pełnoekranowym (nie jest wymagana żadna interakcja z użytkownikiem). Aplikacje są zaprojektowane również tak, aby pobierały dodatkowy moduł, który zapewnia większą liczbę funkcji — np. ukrywanie ikon, uruchamianie przeglądarki, odtwarzanie filmów w serwisie YouTube, otwieranie stron aplikacji w Google Play itd.
Tym razem na liście zainfekowanych aplikacji znajdowało się także, oprócz modów do Minecrafta, narzędzie do odzyskiwania plików, o nazwie File Recovery – Recover Deleted Files. Złośliwą funkcję zawierała wersja 1.1.0, dostępna w Google Play do lutego 2021 r. Została ona usunięta, a wersja 1.1.1, która jest obecnie dostępna, jest bezpieczna.
Uproszczona wersja z płatną subskrypcją w Google Play
Następnie znaleźliśmy kilka paczek modów do Minecrafta z podstawową funkcjonalnością — w takiej konfiguracji aplikacje okazjonalnie wyświetlają reklamy w trybie pełnoekranowym (nawet jeśli aplikacja jest nieaktywna), ale nie są w stanie ukryć swoich ikon ani uruchomić przeglądarki, YouTube’a czy Google Play. W celu zapewnienia dodatkowego zarobku używana jest funkcja zakupów w aplikacji.
Co ciekawe, jedna z aplikacji jest teraz dostępna w sklepie w wersji „podstawowej” i z włączoną opcją zakupów w aplikacji, tymczasem kilka miesięcy temu wykorzystywała ona dodatkowy moduł do pobrania. Wnioskujemy więc, że jej właściciele nadal eksperymentują w kwestii możliwości zarobku.
Wersja kradnąca konta na Facebooku
Później znaleźliśmy jeszcze kilka aplikacji, w których opisana powyżej złośliwa funkcjonalność nie była ich najważniejszym zadaniem. Na przykład jakiś czas temu w sklepie Google Play znajdowała się fałszywa aplikacja sieci reklamowej Madgicx i fałszywa aplikacja do zarządzania reklamami na TikToku, które uparcie prosiły użytkowników o podanie danych ich kont na Facebooku. Jeśli użytkownik je wpisał, kradły mu dostęp.
Aplikacje z alternatywnych sklepów
Wiele takich aplikacji pozostaje dostępnych w alternatywnych sklepach, nawet jeśli Google usunie je ze swojego sklepu. Nic w tym dziwnego; nawet Google, ze znacznie większymi zasobami niż przeciętna firma, nie zawsze jest w stanie sprawnie kontrolować tak dużą ilość istniejących aplikacji. Postanowiliśmy jednak wspomnieć o tym aspekcie, ponieważ to wyraźny dowód na to, że lepiej nie używać alternatywnych sklepów. Jeśli z jakichkolwiek powodów nadal zamierzasz z nich korzystać, przynajmniej zainstaluj niezawodny mobilny program antywirusowy, który ochroni Cię przed niebezpiecznymi aplikacjami.
Jak widzimy z tej historii, jak również wielu innych przypadków, w których złośliwe oprogramowanie przedostało się do oficjalnego sklepu z aplikacjami Google, nawet jeśli pobierasz aplikacje tylko z Google Play, lepiej miej program antywirusowy na swoim smartfonie.