Symantec Threat Intelligence, mest känd för sina Norton-säkerhetslösningar, berättade för Google att det upptäckte en grupp på 25 skadliga och ändå mycket populära Android-appar. När konfigurationsfilen har laddats ner döljer dessa appar sina ikoner på startskärmen och börjar visa helskärmsannonser.
Symantec, ett företag baserat i Mountain View, Kalifornien och specialiserat på datasäkerhet, har upptäckt en grupp 25 skadliga Android-appar i Google Play Butik. Enligt May Ying Tee från Symantec Threat Intelligence och Martin Zhang är dessa appar mycket populära i Google Store. Totalt, dessa 25 applikationer har laddats ner mer än 2,1 miljoner gånger de senaste 5 månaderna.
Enligt information från Google och Symantec, dessa appar försvinner från startskärmen strax efter att de har installerats och börjar visa annonser på skärmen. Även om de alla har tagits bort från Google Play Butik, är det troligt att andra appar som använder samma metod för att undvika Google Play Butiks säkerhetsundersökning, fortfarande finns kvar.
De flesta appar påstås vara foto- eller moderelaterade verktyg. En av dem var en kopia av en annan legitim app, Foto med automatisk suddighet. Upplagt under samma utvecklarkontonamn, med den legitima versionen som visas i kategorin Mest populära appar på Google Play. “Vi tror att utvecklaren medvetet skapar en skadlig kopia av den trendiga appen i hopp om att användarna kommer att ladda ner den skadliga versionen”, avslutade May Ying Tee och Martin Zhang.
Läs också: Google Play Store, dessa 9 Android-applikationer stjäl hundratals euro från sina användare
När konfigurationsfilen har laddats ned döljer applikationen sin ikon på startskärmen
Publicerat under 22 olika utvecklarkontondelar alla applikationer en kodstruktur som liknar den som används för att undvika upptäckt under säkerhetsundersökningen. Detta antyder att utvecklare “kan vara en del av samma organisationsgrupp eller åtminstone använda samma källkodsbas”, skrev May Ying Tee och Martin Zhang.
Direkt efter installationen visas skadliga appar normalt på Android-startskärmen. Men en gång lanserat, de får en fjärrkonfigurationsfil som innehåller den skadliga koden. Nyckelord som är associerade med skadlig aktivitet, inklusive kod för att dölja sin ikon, krypteras i konfigurationsfilen.
När konfigurationsfilen har laddats ner, applikationen extraherar parametrarna och ändrar dess beteende därefter. Det döljer sedan sin ikon på startskärmen och börjar sedan visa annonser i helskärm, även när appen är stängd. ”Helskärmsannonser visas med slumpmässiga intervall utan titel registrerad i annonsfönstret. Så användarna har inget sätt att veta vilken applikation som var aktiv, säger Symantec-forskare.
Läs också: Denna Android-malware har laddats ner över 100 miljoner gånger från Play Store
Källa: Symantec
