Sikkerhetsselskap advarer om en type skadevare som er til forveksling lik velkjente apper, og som utnytter root-tilgang til å vanskeliggjøre avinstallering. (Foto: Adam Berry/Getty Images/All Over Press)

Trojanisert adware

Nye Android-trojanere er nesten umulige å fjerne

Kloner populære apper og skaffer seg full root-tilgang.

Skadevare til smartmobiler blir stadig mer sofistikert. Denne uken skriver sikkerhetsselskapet Lookout om ganske ny, men allerede ganske utbredt kategori med trojanere til Android, som infiserer på en slik måte at det kan være svært vanskelig å bli kvitt dem. 

Kloner med skumle hensikter

Disse appene ser i mange tilfeller helt ut som velkjente apper som Candy Crush, Facebook, Snapchat og Twitter. De har tilsynelatende også samme funksjonalitet, siden det ofte inkluderer selve original-appen, pakket om sammen med skadevaren.

Original-appene er typisk hentet fra Google Play, mens skadevaren blir utgitt på tredjeparts markedsplasser med svakere kontroll av det som blir utgitt. Så langt skal Lookout og andre ha funnet mer enn 20 000 apper som har blitt pakket om på denne måten.

I stor grad skal skadevaren være av typen trojanisert adware, som ligger i bakgrunnen og viser annonser til brukeren på en slik måte at brukeren kanskje ikke får mistanke om at enheten er infisert.

En egenskap ved denne skadevaren som er betydelig mer skummel, er at de automatisk «rooter» enheten.

Leste du denne? Mange mobilapper sender persondata til tredjeparter

Auto-root

Rooting gjør det blant annet mulig for vanlige apper å be om root-tilgang, noe som innebærer at de ikke lenger er begrenset av sandkassen de vanligvis må kjøre innenfor, men også kan få skrivetilgang til for eksempel systemkatalogen.

Disse mulighetene får også skadevaren, som utnytter dette blant annet til å installere seg selv som en systemapplikasjon.

Ifølge Lookout fører dette til at skadevaren blir nesten umulig å fjerne, noe som for ofrenes del kan innebære at det enkleste og billigste vil være å kjøpe ny mobil eller nettbrett.

Fortsatt ikke fikset: Vipps nekter å starte på Android 6.0-enheter

Tre familier

Ifølge sikkerhetsselskapet dreier det seg så langt om tre familier med skadevare, Shuanet, ShiftyBug/Kemoge og Shedun/GhostPush.

Selv om de ulike skadevare-prøvene ofte har mye felles kode, tror ikke Lookout at det er de samme aktørene som står bak all denne skadevaren. Men de tre familiene bruker mye av de samme teknikkene og kodesamlingene. I de fleste av tilfellene brukes flere velkjente verktøy for å oppnå rootingen.

Lookout skriver ingenting om at slik skadevare har blitt funnet også i Google Play. Det er heller ikke gitt at koden som brukes for å oppnå rooting, kan brukes på alle enheter eller sammen med nyere Android-versjoner.

Les også: Google-ansatte utfordrer Android-sikkerheten 

Til toppen