Uniká detekci a drží se jako klíště

Další článek

Výzkumníci ESETu objevili na Google Play malware, který se zajímavým způsobem brání detekčním mechanismům, a navíc je velmi obtížné se ho zbavit.

V Google Play, oficiálním obchodu s aplikacemi pro platformu Android, objevili výzkumníci společnosti ESET unikátní malware. Jde o podvodné aplikace, které imitují populární „game cheats“, tedy podvodné zkratky k výhodám v populárních hrách Cheats for Pou, Guide for SubWay nebo Cheats for SubWay. Místo „cheatů“ však uživatele otravují tím, že každých 30-40 minut zobrazí přes celý displej reklamu. Do doby, než byl tento malware po upozornění od ESETu z obchodu odstraněn, dosáhl za jediný měsíc přes 200 tisíc stažení.

Na malwaru, který ESET detekuje jako Android/AdDisplay.Cheastom, jsou pozoruhodné jednak techniky, jimiž obchází mechanismy společnosti Google pro kontrolu aplikací, jednak agresivní obrana před pokusy o odinstalování.

Před odhalením skutečné funkcionality se tento malware chrání především tím, že po spuštění porovnává IP adresu přístroje, na němž běží, s databází údajů o doménách Whois. Pokud ve výsledcích vyhledávání najde řetězec „google“, tak to považuje za příznak toho, že je možná právě testován nástrojem Google Bouncer. V tom případě až do restartu přístroje nevyvíjí žádnou škodlivou aktivitu, ale funguje, jak uživatelé očekávají.

Pro zklamané uživatelé, jimž Android/AdDisplay.Cheastom zobrazuje agresivní reklamu, je problémem se tohoto malware zbavit. Jeho autoři mu totiž vytvořili ochranný mechanismus: jednak po instalaci skryje svoji ikonu, což komplikuje nalezení, ale hlavně k instalaci vyžaduje administrátorská práva. „Pro odinstalování je potřeba administrátorská práva nejdříve odebrat, což pro mnoho uživatelů není zcela triviální,“ upozorňuje výzkumník ESETu Lukáš Štefanko, který se podílel na odhalení a analýze tohoto malware.

Ochrana ESET Mobile Security řadí Android/AdDisplay.Cheastom mezi takzvané „potenciálně nechtěné aplikace“. K jejich detekci a případně odstranění je potřeba mít zapnutou funkci detekce potenciálně nechtěných aplikací, která je dostupná v menu Antivirus -> Rozšířená nastavení.
Screenshot Google Play s aplikací Guide for Subway předtím, než byla v reakci na zjištění ESETu stažena.



O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software, který drží rekordní počet ocenění a díky němuž může víc než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy a nabízí firmám i spotřebitelům maximální proaktivní ochranu při minimálních nárocích. 

Jedno ze tří evropských výzkumných center ESET pro detekci malware je v Praze. Společnost ESET má celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 180 zemích světa.

Kontakt pro média:

Petr Blažek
petr.blazek@taktiq.com