Risikoen for å bli infisert av skadevare (malware) på Android regnes som forholdsvis liten, så lenge man laster ned apper utelukkende fra Googles egen app-butikk, Google Play Store. Noe av årsaken til det er Googles egen skadevare-sjekker, Bouncer, som automatisk skal luke ut skadelige apper fra Play Store.
Nå melder imidlertid sikkerhetsselskapet Check Point at skadevare som leverer uønskede annonser til Android-mobiler har klart å snike seg forbi Bouncer.
Mellom 8,5 og 36,5 millioner Android-enheter kan være berørt, anslår selskapet. Skadevaren har fått navnet «Judy», og ifølge Check Point kan dette være det største skadevareangrepet i Google Play noensinne.
Genererer annonseinntekter til angriperne
Det er snakk om totalt 41 apper, alle sammen utviklet av det koreanske selskapet Kiniwini og registert på Google Play som Enistudio Corp. I tillegg er skadevaren funnet i enkelte apper fra andre produsenter. Alle de infiserte appene er nå fjernet av Google.
Skadevaren genererer inntekter til angriperne ved å automatisk klikke på annonser fra Google ads.
Ifølge Check Point har angriperne klart å snike seg forbi Bouncer ved å lage en tilsynelatende legitim «bridgehead»-app. Denne appen har så blitt publisert på Google Play Store, uten at den har blitt fanget opp av sikkerhetssystemet. Når brukeren laster ned denne appen vil den opprette en forbindelse med en C&C-server (command and control) som sender den ondsinnede koden til offerets mobiltelefon. Det er snakk om JavaScript-kode som kan imitere en nettleser, åpne en skjult nettside og så søke etter iframes som inneholder Google-annonser – for så å klikke på dem.
I tillegg til å automatisk klikke vil Judy også vise et stort antall annonser til brukeren, og i mange tilfeller må man trykke på annonser for å bli kvitt dem.
Det er bare én måned siden et lignende skadevareangrep rammet Play Store, den gangen i 49 apper. Angrepet («FalseGuide») ble gjort på en lignende måte, ved å publisere en tilsynelatende «godartet» app som senere kunne laste ned ondsinnet kode.
Slike apper kan ifølge Check Point bli liggende uoppdaget i app-butikkene i lang tid. Noen av de 41 Judy-infiserte appene som ble oppdaget nå har ligget på Google Play i flere år, men alle har nylig blitt oppdatert.
«Det er uklart hvor lenge den ondsinnede koden har ligget i appene, og dermed er den faktiske spredningen av skadevaren ukjent», skriver selskapet.
En komplett liste over alle de berørte appene ligger her.
