Prémium SMS-ek küldésével és online szolgáltatásokra történő előfizetéssel jutottak pénzhez azok a hackerek, akik 50 androidos alkalmazást fertőztek meg. Ingyenes alkalmazások telepítésekor figyeljünk oda, hogy azok mihez kérnek hozzáférést – és használjunk biztonsági megoldást mobileszközünkön is.

Annak ellenére, hogy a Google a gépi tanulás eszközeit is használja, hogy kiszúrja a fertőzött alkalmazásokat, 50 közülük felkerült a Play Store-ba.  Ezeket 4,2 millió alkalommal töltötték le a felhasználók. A támadók prémium SMS-ek küldésével és online szolgáltatásokra történő előfizetésekkel csaltak ki pénzt a felhasználóktól.

Az a drága háttérkép

A kártevőt ExpensiveWall névre keresztelték, az egyik megfertőzött alkalmazás, a Lovely Wallpaper neve után. A háttérképeket kínáló ingyenes alkalmazásba épített malware-t idén januárban egy fotós appba beépítve már felfedezték.

Elég sok alkalmazás érintett, ezek listáját itt lehet megtalálni. A fertőzött alkalmazás telepítés közben hozzáférést kér az SMS küldéshez, internethozzáféréshez, majd miután ezeket a felhasználó megadja, megszerzi a készülékhez tartozó mobilszámot, MAC címet, IP címet. Az alkalmazás ezután megnyit egy weboldalt, ahol egy parancssor lefuttatásával feliratkozik a fizetős szolgáltatásra, emelt díjas SMS-t küld.

A Google augusztus elején eltávolított áruházából a kérdéses alkalmazásokat, de sajnos azután is felbukkant egy, mely közel 5000 készüléket fertőzött meg, mielőtt törölték. A jövőben is számítani lehet hasonló fertőzött alkalmazások megjelenésére.

A fejlesztési platform lehet a ludas

A Google 2016-os adatai szerint az SMS csalások a Play Store-os kártevők 10 százalékát teszik ki, viszont az jóval aggasztóbb, hogy a hasonló jellegű kártevők száma 2015 óta 282 százalékkal nőttek.

Még nem lehet pontosan tudni, hogyan is fertőződtek meg ezek az alkalmazások, hiszen egyeseket már 2015-ben feltöltötték a Play Store-ba. Lehetséges, hogy a gtk névre hallgató, szoftver fejlesztési platformhoz fértek hozzá a hackerek és ezt módosították. Ez a platform megtalálható magukban az alkalmazásokban is. A hackerek még az egészen csavartak egyet azzal, hogy titkosították vagy tömörítették a káros kódot, így a Google ellenőrzéskor nem is vehette észre, hogy ártó szándékú alkalmazással áll szemben.