Flere trojanere har blitt funnet i Google Play Store, blant annet denne som kalles for Super Mario Bros. (Bilde: Symantec)

Skadevare lå på Google Play i flere uker

Kan ha blitt lastet ned av opptil 100 000 Android-brukere.

At skadevare rammer Android-brukere er ingen nyhet, men i de aller fleste tilfellene spres skadevaren via andre applikasjonsmarkedsplasser enn Google Play Store. De gangene det har blitt meldt om skadevare i Googles egen markedsplass, har skadevaren blitt fjernet før den har kunnet berøre særlig mange – gjerne innen det første døgnet.

Men nå skriver Symantecs Irfan Asrar i et blogginnlegg om et langt mer alvorlig tilfelle. Selskapet skal denne uken ha funnet ut at to velkjente spilltitler som ble lastet opp på Google Play Store allerede den 24. juni, har skjult og uønsket funksjonalitet.

De to applikasjonene «Super Mario Bros.» og «GTA 3 Moscow City» er i praksis trojanere, altså programvare som utgjør seg for å være én ting, men hvor hovedhensikten er noe helt annet – noe som skjules for brukeren.

Symantec har beskrevet Super Mario Bros.-applikasjonen i detalj. Det dreier seg ikke om et spill, men bare en applikasjon som tilbyr et bakgrunnsbilde på mobilen. Ved installasjon ber applikasjonen om tillatelse til å sende SMS-er, noe som burde få varselklokkene til å ringe hos mange. Etter at applikasjonen er installert, laster den ned enda en applikasjon fra Dropbox. Også denne ber om tillatelse til å sende SMS-er. Når den startes, sendes en tekstmelding til nummeret 3170, som ifølge Symantec er en tjeneste av den kostbare typen, rettet mot Øst-Europa. Deretter avinstalleres den sekundære applikasjonen umiddelbart. Mye av dialogen i applikasjonene ser ut til å være på russisk.

Symantec kaller trojaneren for Android.Dropdialer.

Ifølge blogginnlegg skal Google ha fjernet de to skadevare-applikasjonene umiddelbart etter at de ble varslet – både fra Google Play Store og berørte mobiler. Men siden trojanerne var tilgjengelige for nedlasting i flere uker, skal de blitt lastet ned mellom 50 000 og 100 000 ganger.

Google tester alle applikasjoner som tilbys gjennom Play Store med et verktøy som kalles for Bouncer. I praksis er dette et virtuelt Android-system som skal kunne avdekke skadelig adferd i applikasjonene. Men som tidligere omtalt er det mulig for applikasjoner å oppdage at de kjøres i Bouncer og ikke på et ordinært system, for så å la være å aktivere den skadelige funksjonaliteten. Det har blitt oppgitt at Google vil endre måten Bouncer fungerer på, men detaljene om dette er ikke kjent.

Det at den virkelig skadelige funksjonaliteten ikke finnes i hovedapplikasjonen, men i den som lastes ned i ettertid, gjør det på én måte vanskeligere å oppdage den skadelige koden, men på den annen side betyr en slik nedlasting at man bør være mer på vakt, siden dette ikke er så vanlig.

Symantec omtaler det ikke, men installasjonen av den sekundære applikasjonen krever sannsynligvis at brukeren på forhånd har godkjent installasjon fra andre kilder enn Google Play Store. Dette er en endring i innstillingene som ikke er veldig lett tilgjengelig for brukerne, noe som tilsier at ikke veldig mange har aktivert dette. I så fall er trolig begrenset hvor mange som faktisk har blitt økonomisk rammet av de nevnte trojanerne.

    Les også:

Til toppen