Ghost Push: malware, který umí rootnout zařízení a instalovat aplikace

ghost_push_ico

Obecně sice platí, že kdo instaluje aplikace z oficiálního repozitáře Obchod Play, vystavuje své zařízení menšímu riziku infiltrace škodlivé aplikace. Nicméně ani při dodržování této zásady nelze garantovat, že nenarazíte na malware. Důkazem je trojan Ghost Push, který se skrýval v několika populárních aplikacích a podařilo se mu dostat i do Obchodu Play.

Škodlivý kód byl poprvé objeven společností Cheetah Mobile ve zdánlivě legitimní aplikaci. “Jedná se o nejrozšířenější a nejvíce infekční virus, jaký jsme až do současnosti viděli,” uvedla následně firma na svém blogu. Odborníci z Cheetah Mobile se o viru poprvé dozvěděli kvůli rostoucímu počtu uživatelů, kteří žádali o pomoc s odstraněním neodinstalovatelných programů ze svých zařízení.

Ghost Push je v nových verzích rafinovanější

Během krátké doby se pak vynořilo více než dvacet dalších mutací škodlivého kódu. Výzkumníci společnosti Trend Micro tvrdí, že nové varianty jsou obtížněji odhalitelné a posouvají epidemii malware na vyšší úroveň, přičemž Ghost Push infikoval 600 000 uživatelů denně, převážně v Indii, Indonésii a Malajsii. Nové verze šifrují nejen svůj instalační balíček (APK) a zdrojový kód, ale také přejmenovávají soubor použitý k instalaci škodlivého kódu.

Počet mutací malwaru Ghost Push Počet mutací malwaru Ghost Push

Kromě schopnosti obejít bezpečnostní opatření Obchodu Play (a dalších repozitářů) je Ghost Push schopen získat práva roota a poskytnout tak útočníkovi úplnou kontrolu nad telefonem či tabletem. Navíc má být téměř nemožné se ho zbavit – údajně nepomohou ani antivirové programy či reset zařízení do továrního nastavení.

Mezi bezmála čtyřiceti infikovanými aplikacemi byly například falešné verze Kalkulačky, Smart Touch, Assistive Touch, Talking Tom 3, Easy Locker, Privacy Lock, WiFi Enhancer, Amazon, Super Mario, Memory Booster, WordLock a další.

Princip šíření malware Ghost Push Princip šíření malware Ghost Push

Ghost Push: za vším hledej peníze

Po získání plné kontroly nad zařízením mohou čínští hackeři, stojící za celou akcí, instalovat aplikace bez souhlasu uživatele, včetně jejich automatického spouštění společně se systémem. Cheetah Mobile odhaduje, že Ghost Push vydělává svou činností 4,05 milionů dolarů denně.

Ghost Push infikoval 600 000 uživatelů denně, převážně v Indii, Indonésii a Malajsii Ghost Push infikoval 600 000 uživatelů denně, převážně v Indii, Indonésii a Malajsii

Bezpečnostní firma Trend Micro tvrdí, že autoři publikovali přes 650 škodlivých aplikací v celkem 1259 verzích zejména mimo oficiální zdroje. Jedna z těchto aplikací již infikovala více než 100 000 přístrojů.

Spása na obzoru?

V tuto chvíli již téměř není důvod k obavám – všechny škodlivé aplikace byly rychle staženy z Obchodu Play. Bohužel i tak si je stihla nainstalovat řada uživatelů, kteří tak poskytli prostor pro rejdění nekalých živlů. Dle informací serveru Android Authority si s trojanem neporadí většina antivirových aplikací, ale společnost Cheetah Mobile vytvořila specializovaný nástroj Ghost Push Trojan Killer, určený k odstranění nákazy ze systému.

Aplikace je schopná detekovat škodlivý software, takže byste ji rozhodně měli nainstalovat a spustit, pokud jste si všimli nějakého nestandardního chování telefonu, nebo jestliže jste si stáhli některou z výše uvedených aplikací.

Stubborn Trojan Killer
Stubborn Trojan Killer

Sami autoři ke svému nástroji Ghost Push Trojan Killer uvádějí: “Na rozdíl od běžných trojských koní Ghost Push instaluje mnoho dalších virů, které je velmi těžké odstranit z telefonu, přičemž tyto budou například posílat SMS zprávy na prémiová čísla, krást vaše osobní údaje, nebo dokonce poškozovat zařízení.”

Ghost Push je pomyslným zdviženým ukazováčkem, který dokazuje, že bychom měli vždy věnovat pozornost tomu, co provádíme se svými smartphony. Jak je vidět, ani Obchod Play není naprostou garancí bezpečí. Proto doporučujeme: vždy se ujistěte, že aplikace, kterou hodláte stáhnout, pochází od oficiálního vývojáře!

Zdroje: Android Authority, ZDNet, TripWire, Trend Micro.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (18)