Darmowe hity z Google Play to pułapka. Wirusa pobrały miliony
Masz telefon z Androidem i lubisz testować nowe, darmowe narzędzia? Miej się na baczności. W sklepie Google Play odkryto groźne oprogramowanie, które udaje pożyteczne aplikacje, a w rzeczywistości dewastuje baterię i może wykradać dane.
Sprawa jest poważna, bo nie mówimy o niszowych programach, które pobrało kilka osób. Nowe zagrożenie dotknęło milionów użytkowników na całym świecie. Niebezpieczne aplikacje były tak sprytnie przygotowane, że jedna z nich trafiła nawet na drugie miejsce w rankingu najpopularniejszych darmowych narzędzi. Eksperci z Check Point Research nazwali tę kampanię "GhostAd". Choć najwięcej infekcji odnotowano w Azji, problem dotyczy też Europy.
Telefon parzy w dłonie? To może być GhostAd
Mechanizm działania oszustów był wyjątkowo przebiegły. Użytkownik pobierał z pozoru niewinną aplikację. Ta jednak tuż po uruchomieniu rejestrowała się w systemie jako usługa pierwszoplanowa. Co to oznacza? Program działał cały czas, nawet jeśli go zamknąłeś lub zrestartowałeś telefon.
Twórcy złośliwego kodu wykorzystali lukę w obsłudze powiadomień. System Android wymaga, by działająca w tle usługa wyświetlała ikonę na pasku powiadomień. Hakerzy stworzyli więc pusty, niemal niewidoczny komunikat. Użytkownik nie mógł go usunąć ani łatwo zidentyfikować. W tym czasie telefon po cichu ładował reklamy.
Skutki były opłakane dla sprzętu. Smartfony zaczynały się przegrzewać, a bateria znikała w oczach. Co gorsza, proces ten zużywał ogromne ilości danych pakietowych, nabijając rachunki u operatora. Nawet gdy ekran był wygaszony, telefon ciężko pracował na zysk oszustów.
Nie tylko reklamy, ale i kradzież danych
Sprawa ma drugie dno. GhostAd to nie tylko uciążliwe reklamy. Badacze bezpieczeństwa ostrzegają, że ten sam mechanizm może służyć do znacznie groźniejszych celów. Aplikacje te miały szerokie uprawnienia, w tym stały dostęp do sieci i pamięci urządzenia.
Taki zestaw cech pozwala na ciche skanowanie plików w telefonie. Zagrożone są zdjęcia, zrzuty ekranu, a nawet kopie zapasowe wiadomości. Jeśli używasz prywatnego smartfonu do pracy, zagrożone mogą być też dane firmowe. Aplikacja może wysyłać to wszystko na serwer przestępców bez twojej wiedzy.
Aplikacje usunięto, ale warto zachować ostrożność
Wiele osób zorientowało się po fakcie, pisząc w komentarzach w Google Play, że to wirus, który przejmuje telefon. Skarżono się na znikające ikony aplikacji, co utrudniało ich odinstalowanie, oraz na to, że program sam się "leczył". Wykorzystywano do tego funkcję JobScheduler, która co kilka sekund wznawiała ubite procesy.
Co możesz zrobić? Google usunął już wykryte aplikacje ze swojego sklepu. Usługa Play Protect powinna też automatycznie wyłączyć szkodliwe programy na twoim urządzeniu. Warto jednak zachować czujność:
- przejrzyj listę zainstalowanych aplikacji w ustawieniach (nie tylko na pulpicie),
- unikaj programów o dziwnych, bardzo ogólnych nazwach,
- zwracaj uwagę na to, czy telefon nie grzeje się bez powodu,
- czytaj recenzje – ostrzeżenia innych użytkowników to często najlepsza ochrona.
