Opptil én million smittet i Googles nettbutikk

FARLIG: Populære spill er attraktive for spredning av ondsinnet programvare. (Ill.: Check Point/Google)

Opptil én million smittet i Googles nettbutikk

Så mange som én million Android-brukere kan ha blitt utsatt for mobil skadevare spredt via Google Play.

Det var sikkerhetsselskapet Check Point Software Technologies som oppdaget den skadelige programvaren og varslet Google.

Check Point og Google har etterpå samarbeidet om å fjerne trusselen, fremgår det av en rapport fra Check Point.

Brain Test

Android-spillet Brain Test er kjernen i saken. Appen er blitt lagt ut på Googles nettbutikk Google Play to ganger, og hver hver gang er den blitt lastet ned mellom 100.000 og 500.000 ganger, ifølge statistikk fra Google Play.

Disse nedlastingene kan ha ført til at mellom 200.000 og én million brukere er blitt berørt av skadevaren, heter det.

Check Point varslet Google om oppdagelsen 10. september, og appen som inneholdt skadevaren ble fjernet fra Google Play 15. september.

Oppdaget på Nexus-mobil

Den skadelige programvaren ble først oppdaget på en Nexus 5-mobil. Selv om brukeren prøvde å fjerne den infiserte appen, dukket den skadelige programvaren opp igjen på den samme enheten etter kort tid.

Check Points analyse av programvaren viser at den bruker flere avanserte teknikker for å unngå å bli oppdaget hos Google Play og for å kunne bli liggende på infiserte mobilenheter i lang tid uten å bli slettet.

Det var gjennom analyseverktøyet Check Point Mobile Threat Prevention at sikkerhetsselskapet detekterte den skadelige programvaren. Dette førte blant annet til at sikkerhetsreglene i mobiladministrasjonsløsningen til Check Points samarbeidspartner Mobileiron automatisk ble endret, slik at infiserte enheter ikke lenger får tilgang til bedriftsnettverk som er beskyttet med denne løsningen.

Bekymringsfullt

Skadevaren som er oppdaget i denne saken, kan utføre endringer på infiserte enheter som er svært bekymringsfulle, ifølge Check Point. Hovedproblemet er at den sørger for å installere ytterligere programvare på enhetene. Det etableres et rootkit på enheten som gjør at den uten eierens vitende kan laste ned og eksekvere en hvilken som helst kode som kyberkriminelle ønsker å kjøre på enheten.

Et eksempel kan være å vise uønsket og plagsom reklame på mobilen eller nettbrettet. Et annet kan være å laste ned programvare som stjeler identitetsinformasjon fra enheten.

Dukket opp på nytt

Etter at infiseringen av Brain Test-appen ble oppdaget første gang, sørget Google for å fjerne appen fra Google Play. Noen få dager senere oppdaget teamet fra Check Point at den samme koden var kommet inn i nettbutikken igjen, men nå under et annet pakkenavn.

Skadevaren består av to hovedkomponenter, kalt The Dropper og The Backdoor. Sistnevnte prøver å laste ned annen programvare uten at brukeren får vite om det.

Ifølge Forbes er er den ondsinnede programvaren trolig av kinesisk opprinnelse.

Analyse og anbefaling

Check Point har publisert en grundig analyse av den skadelige programvaren og hvordan den oppfører seg. I tillegg anbefaler sikkerhetsselskapet at man benytter oppdatert anti-skadevareprogram som er i stand til å detektere slike trusler.

Hvis trusselen gjenoppstår på enheten etter den første installasjonen, betyr det at skadevaren har greid å installere modulen i systemkatalogen. I så fall bør enheten tilbakestilles med en offisiell ROM/fastvare-versjon, heter det.

Det ligger flere apper på Google Play som har Brain Test i navnet, blant annet Brain Test HD og Brain Test Pro. Disse skal ikke være berørt.

Mobil Sikkerhet