Google Code je známá platforma, která poskytuje jednotné prostředí pro spolupráci vývojářů pracujících na open source projektech. Je to také cíl pro malware vývojáře. Na rozdíl od toho, co si mohou myslet, to není poprvé, co Google Code byla použita k rozšíření či uložit malware. (Najdete příklady v objevu nahraných obrázků, které vedly k falešných kodeků v roce 2009 a trojských koní Windows / backdoor / heslo pro krádež keyloggery nalezených v roce 2010.) Dále jsme nedávno našel malware, který používá Google Android kodexu jako rozdělení platforma pro obě potenciálně nežádoucích programů (pay-per-install kampaně nebo adware) a škodlivé aplikace v stahují).
První varianta současného malware v Google Code byl nalezen v třetí strany Android Market zabalil v čínské verzi legitimní paměti optimalizace aplikací. Pokaždé, když se aplikace spustí, nebo zaváděcí proces úpravy (přístroj restartován nebo zapnuta), užitečné zatížení začíná jako službu běžící na pozadí.Služba kontroluje na vzdálený server (s URL zakódované v souboru uvnitř adresáře "Aktiva") pro aplikace ke stažení, které ukládají informace do databáze vytvořené uvnitř přístroje. (Klikněte na obrázek pro jeho zvětšení.)
Údaje získané z webového serveru obsahuje jméno balíku, jméno souboru Apk a cestu používané ke stažení aplikace, které poukazuje na projektu Google Code:
Databázové záznamy, zda konkrétní aplikaci byl stažen, instalaci, nebo otevřeny. Jakmile jsou data uložena, což je ke stažení provedení závit, bez souhlasu uživatele, první aplikace v databázi. Tato aplikace je uložen ve složce stažení v SD kartě:
Jakmile se stahování skončí, škodlivý aplikace pokusí nainstalovat aplikaci tím, že zobrazuje upozornění, že triky uživatel do podezření, že je aktualizace systému. (Překlad z čínštiny: 系统 更新 = "Aktualizace systému" a 您好, 已经 获取 ... = "Dobrý den, poslední oprava byla stažena, klikněte zde pro instalaci"):
Když uživatel poklepe tohoto oznámení stáhnout spuštění aplikace se instaluje pomocí běžného postupu Android. Podezřelé aplikace uložené v několika projektech Google Code byly analyzovány, některé z nich byly klasifikovány jako PUP, protože mají nežádoucí chování, jako je odesílání soukromých dat (IMEI, telefonní číslo) na vzdálené servery. Vědci našli novou variantu malwaru, který, místo aby byly zabalené v legitimní aplikace, je čistý škodlivý kód, který nevykazuje žádné ikony v hlavním menu. Nicméně, to může být viděno instalována v Stažené části Správa aplikací pomocí klamavé včelí plástve ikonu a titul Android 3.0 patch:
Ačkoli žádný z analyzovaných vzorků obsahuje kořen využije, tato varianta má kód pro ověření, zda zařízení je již zakořeněné. Pokud ano, bude to pokračovat s tichou instalaci staženého pomocí příkazu "pm install-r." Druhým rozdílem oproti variantě do projektu Google Code je, že škodlivý chování se začíná pouze tehdy, pokud je na obrazovce zařízení vypnuto , pravděpodobně aby aktualizace systému se objeví normální.
Navzdory skutečnosti, že většina aplikací jsou k dispozici v zákoníku projektů Google nejsou ani nebezpečný, ani mláďata, může vazby uložené na vzdáleném serveru, spolu s textem oznámení, kdykoli změnit. Tak prakticky jakákoliv aplikace je může být instalován na zařízení bez souhlasu uživatele. McAfee Mobile Security detekuje všechny tyto varianty jsou Android / FakeUpdates.
Aktualizace: Postižené projekty byly odstraněny Google.
Žádné komentáře:
Okomentovat