תוכנות להסרה מיידית והפעלת תוכנת ניקוי
ראשית, אם מותקנת במכשיר האנדרואיד שלכם, אחת מהאפליקציות המפורטות להלן, מומלץ להסיר אותה מייד.
חוקרי אבטחת סייבר זיהו 42 אפליקציות בחנות Google Play הכוללות למעלה מ- 8 מיליון הורדות, אשר הופצו בתחילה כאפליקציות לגיטימיות אך לאחר מכן עודכנו להצגת מודעות של מסך מלא למשתמשים שלהם בזדון.
גילו של חוקר האבטחה ESET, לוקאס סטפנקו, יישומי אנדרואיד לתוכנות פרסום פותחו על ידי סטודנט באוניברסיטת וייטנאם, שבקלות עבר מעקב סביר כי מעולם לא טרח להסתיר את זהותו.
פרטי הרישום הזמינים לציבור של דומיין המשויך לאפליקציות של תוכנות פרסום עזרו למצוא את זהותו של המפתח הסורר, כולל שמו האמיתי, כתובתו ומספר הטלפון שלו, מה שהוביל בסופו של דבר את החוקר לחשבונות האישיים שלו בפייסבוק, GitHub ו- YouTube.
סטפנקו נכתב בפוסט בבלוג שפורסם היום כי “כיוון שהמפתח לא נקט אמצעים להגנה על זהותו, נראה כי כוונותיו לא היו ישרות בהתחלה.
“בשלב מסוים בקריירה שלו ב- Google Play הוא כנראה החליט להגדיל את הכנסות המודעות שלו על ידי יישום פונקציונליות של תוכנות פרסום בקוד של האפליקציות שלו.”
מכיוון שכל 42 האפליקציות לתוכנות פרסום מספקות פונקציות מקוריות שהבטיחו, כמו רדיו FM, הורדת וידיאו, או משחקים, קשה לרוב המשתמשים לאתר אפליקציות סוררות או למצוא משהו חשוד.
טריקים של תוכנות פרסום להתגנבות ועמידות
המכונה משפחת תוכנות פרסום “אשאס”, המרכיב הזדוני מתחבר לשרת שליטה ובקרה מרחוק המופעל על ידי היזם ושולח באופן אוטומטי מידע בסיסי על מכשיר אנדרואיד עם התקנת אחד מאפליקציות ה- adware.
תוכנות זדוניות של תוכנות פרסום לאפליקציות של גוגל אנדרואיד
לאחר מכן האפליקציה מקבלת נתוני תצורה משרת ה- C&C האחראי על הצגת מודעות לפי בחירת התוקף ומריצה מספר טריקים לצורך התגנבות וחוסן, חלקם מוזכרים להלן.
כדי להסתיר את הפונקציונליות הזדונית שלה ממנגנון האבטחה של Google Play, האפליקציות בודקות תחילה את כתובת ה- IP של המכשיר הנגוע, ואם היא נופלת בטווח של כתובות IP ידועות לשרתי גוגל, האפליקציה לא תפעיל את עומס התוכן של תוכנות פרסום. .
כדי למנוע ממשתמשים לקשר מייד את המודעות הלא רצויות לאפליקציה שלו, המפתח הוסיף פונקציונליות כדי לקבוע עיכוב מותאם אישית בין הצגת מודעות להתקנת האפליקציה.
בנוסף, האפליקציות מסתירות גם את הסמלים שלהן בתפריט הטלפון של אנדרואיד ויוצרות קיצור דרך בניסיון למנוע הסרת התקנה.
“אם משתמש טיפוסי מנסה להיפטר מהאפליקציה הזדונית, רוב הסיכויים שרק קיצור הדרך יוסר. האפליקציה ממשיכה לפעול ברקע ללא ידיעת המשתמש”, אמר סטפנקו.
מה מעניין? אם המשתמש המושפע עומד על כפתור “היישומים האחרונים” בכדי לבדוק איזו אפליקציה מציגה מודעות, תוכנת הפרסום מציגה את אייקון פייסבוק או גוגל כדי להיראות לגיטימי ולהימנע מחשד, והעלאת המשתמשים להאמין שהמודעות מוצגות על ידי שירות לגיטימי.
אף על פי שסטפנקו לא דיבר הרבה על סוג הפרסומות שהפרסום הזה משרת למשתמשים הנגועים, בדרך כלל, תוכנות פרסום מפגיזות מכשירים נגועים בפרסומות, מה שמוביל לרוב לאתרי הונאה, זדוניות ודוגמאות.
סטפנקו דיווח מצוות האבטחה של גוגל על ממצאיו, והחברה הסירה את האפליקציות המדוברות מפלטפורמת Play Store שלה.
עם זאת, אם הורדת אחת מהאפליקציות הסוררות המפורטות לעיל במכשיר ה- Android שלך, הסר אותה מייד על ידי מעבר להגדרות המכשיר שלך.
למשתמשי Apple iOS מומלץ גם לבדוק את מכשירי האייפון שלהם עבור אפליקציות אלה, שכן למפתח הזדוני יש גם אפליקציות בחנות האפליקציות של אפל. עם זאת, נכון לעכשיו, אף אחת מהן אינה כוללת פונקציונליות של תוכנות פרסום.
תוכנות מומלצות לאנדרואיד:
- CCleaner
- iMyFone Umate iPhone Cleaner.
- iFreeUp iPhone Cleaner.
- CleanMyPhone.
- TenorShare iCareFone