2 godzin temu
Badacze z Check Point Research ostrzegają przed nową falą adware, która potrafiła zmienić telefony w niewidzialne maszyny do wyświetlania reklam. Kampania nazwana GhostAd działała w Google Play od października, a część aplikacji jeszcze do niedawna figurowała w rankingach najpopularniejszych narzędzi, w tym na 2. miejscu kategorii Top Free Tools.
Według analizy, w operację zaangażowanych było co najmniej 15 aplikacji, głównie kierowanych do użytkowników z Filipin, Pakistanu i Malezji. Jednak przypadki infekcji wykryto również w Europie i Afryce. Łącznie pobrano je miliony razy, co czyni GhostAd jedną z największych kampanii adware w ciągu ostatnich miesięcy.
Jak działa GhostAd?
Po pierwszym uruchomieniu aplikacje aktywowały usługę działającą na pierwszym planie, która nie znikała choćby po zamknięciu programu czy ponownym uruchomieniu telefonu. Android wymaga, by taka usługa wyświetlała powiadomienie. Twórcy GhostAd wykorzystali to, pokazując niemal pusty komunikat, którego nie dało się usunąć. Nie zdradzał on, iż coś pracuje w tle.
Drugi element to agresywne wykorzystanie JobScheduler’a. Mechanizm cyklicznie przywracał proces generowania reklam co kilka sekund. Efekt? Nigdy nie było przerwy, reklamy ładowały się w tle non stop, niezależnie od tego, czy użytkownik korzystał z telefonu czy miał wygaszony ekran.
Telefon grzał się, bateria znikała, a użytkownik nie miał o niczym pojęcia
Zachowanie aplikacji gwałtownie przekładało się na realne problemy. Telefony zaczynały się nagrzewać, bateria znikała w ekspresowym tempie, a pakiet danych potrafił topnieć choćby wtedy, gdy urządzenie leżało przez długi nieużywane. Do tego dochodziło ogólne spowolnienie pracy systemu, które wielu użytkowników brało początkowo za zwykłe „zamulenie” Androida.
Wprawdzie opisywane aplikacje nie wykorzystywały typowych luk bezpieczeństwa, badacze podkreślają, iż przy nadanych uprawnieniach miały potencjał, by zdobywać dostęp do wrażliwych danych. Program z możliwością zapisu i odczytu pamięci współdzielonej może przeglądać katalogi z dokumentami, kopiami zapasowymi, PDF-ami, eksportami czatów czy screenshotami. W praktyce daje to możliwość ciągłego wycieku danych różnego rodzaju.
Cyberprzestępcy wykorzystują do ataków choćby aplikacje w Google PlayDlaczego jest to tak niebezpieczne?
GhostAd nie wygląda jak klasyczne malware. Nie kradnie SMS-ów, nie żąda uprawnień do aparatu ani kontaktów. Zamiast tego wykorzystuje legalne narzędzia reklamowe w sposób, który trudno wykryć automatycznymi filtrami.
Warto zatem zachować ostrożność przy instalowaniu nowych programów, szczególnie tych o niejasnych nazwach i ogólnikowych opisach. Przed pobraniem dobrze jest rzucić okiem na opinie innych użytkowników. Komentarze w stylu „zachowuje się jak wirus” często dostarczają więcej informacji niż oficjalny opis w sklepie. Nie należy też ignorować pustych, stałych powiadomień, które mogą sugerować działanie ukrytej usługi w tle.
Od czasu do czasu opłaca się również przejrzeć listę zainstalowanych aplikacji, by sprawdzić, czy nie pojawiło się tam coś podejrzanego. Dodatkową warstwę ochrony zapewnia Google Play Protect i aktualne systemowe mechanizmy bezpieczeństwa, dlatego warto trzymać je włączone i zadbać o regularne aktualizacje.
Źródło: Check Point, Heise Online
