Menu

Lookout: Škodlivé aplikace jsou “jen” agresivním reklamním systémem

V uplynulém týdnu společnost Symantec ohlásila nalezení třinácti škodlivých aplikací, o čemž u nás ve zprávičce informoval kolega Michal Janoušek. Podle původních informací mohl malware, jež byl údajně nainstalován až na pět milionů zařízení, sloužit k vytvoření sítě botnetů. Mobilní bezpečnostní firma Lookout Mobile ale tvrdí, že nic se nejí tak horké, jak se to uvaří, tedy konkrétně, že zmiňované aplikace pouze vytvářejí reklamní síť, ale neškodí, ani nesbírají osobní údaje. “Nesouhlasíme s hodnocením, že jde o malware, ale věříme, že Apperhand SDK (Android.Counterclank) je agresivní formou reklamní sítě, kterou je nutné brát vážně,” uvádí Lookout Mobile na svém firemním blogu.

Připomeňme, že v pátek Symantec našel v Android Marketu a oznámil několik her a aplikací, jež údajně spadaly do rodiny malware Android.Counterclank. Ta se podobá škodlivému kódu Android.Tonclank, který byl definován jako síť botnetu. Botnety kradou z infikovaného zařízení informace a jsou používány k infiltraci a ovládání dalších zařízení. V tomto směru Lookout se Symantecem nesouhlasí a tvrdí, že aplikace nejsou tak škodlivé, jak bylo původně prezentováno. “Apperhand se nezdá být nebezpečný – dle našeho výzkumu je to agresivní forma reklamní sítě – ne malware,” tvrdí Lookout.

Apperhand se pohybuje na hranici – aplikace sice identifikuje napadený přístroj na serverech, ale nesbírá další údaje. Je také možné zaslat na telefon reklamní sdělení formou “push” oznámení, což je přirovnáváno k vyskakujícím reklamním oknům. Takové chování je nepříjemné, protože, podobně jako “pop-up okna,” ruší uživatele v prováděné aktivitě a nutí ho k nějaké akci. Regulérní reklamy v aplikacích pro Android jsou obvykle umísťovány v dolní nebo horní části obrazovky a nenarušují samotné aplikace.

Informace také hovoří o tom, že Apperhand vytváří na ploše ikonu, nicméně podle Lookoutu, tato ikona vede na webový vyhledávač, který obsahuje pouze bezpečný obsah. Lookout ale nevyvrací, že škodlivé aplikace jsou schopny stahovat do telefonu další nežádoucí obsah. Apperhand tak například stahuje vlastní záložky do mobilního prohlížeče, které teoreticky mohou působit jako brána pro malware.

Sečteno a podtrženo: Lookout tvrdí, že škodlivé aplikace mohou:

  1. Identifikovat zařízení podle IMEI,
  2. potenciálně zobrazovat uživateli reklamní sdělení formou “push oznámení,”
  3. vytvářet na ploše ikonu pro vyhledávání,
  4. nahrát své záložky do webového prohlížeče.

Některé Symantecem ohlášené aplikace byly staženy z Android Marketu, nicméně Lookout upozorňuje, že důvodem nemusela být jejich škodlivost, jako spíše porušení autorských práv, neboť programy se maskovaly za oficiální aplikace některých významných producentů software.

Zdroje: oficiální blog Lookout, MobileBeat, Androinica

Komentáře

JirkaH

JirkaH

30.1.2012 11:59

takze PR bublina Symantecu… :-(

Karelk

Karel Kiliánexternista 8

30.1.2012 12:46

To: JirkaH
Asi tak nějak ;)

ic

ic

30.1.2012 13:07

Neviděl bych to přímo jako PR bublinu. Musíme si uvědomit, že viry a malware obecně se už nechovají jako v minulosti. Dnes jde vždy o zisk. Tedy malware buď sbírá informace o platebních kartách, servíruje vlastní reklamu, nebo nahrazuje reklamy cizí těmi svými (což uživateli může být jedno, ale původní autor přichází o zisk), nebo se ho snaží nějak přesvědčit, aby si něco zakoupil (třeba antivirus), provádějí DDOS útoky.

Nebo nejspíše jako v tomto případě ‘Lookout ale nevyvrací, že škodlivé aplikace jsou schopny stahovat do telefonu další nežádoucí obsah.’ Se jen šíří a škodlivou část doinstalují později.

U Win PC je tohle velmi běžné… vir sám má možnost se pouze šířit a připojit se k internetu a doinstalovat nějaké další malware. Autor viru to má takto jednodužší a teprve až vidí, že se jeho viru podařilo dostatečně rozšířit vymyslí, jak z toho inkasovat nějaké peníze.

Elrol

Elrol

30.1.2012 13:40

Samozřejmě, že si Symantec přihřívá polívčičku tím, jak je všechno strašně nebezpečné. Stejně jako si teď Lookout přihřívá svoji PR polívčičku sdělením, že Symantec plácal nesmysly.

Jenže ona je pravda tak trochu na obou stranách, že ano? Přestože to není klasický mallware, jak jsme ho doteď označovali, já osobně bych tedy “agresivní formu reklamní sítě, která spamuje uživatele push notifikacemi” za mallware jednoznačně prohlásil.

A tvrzení, že uživatel musel práva aplikaci povolit, dle mě nehrají roli. Některá z práv vyžadovaná Android aplikacemi jsou tak obecná nebo nesmyslná, že běžný netechnický uživatel nemá nejmenší šanci poznat legální aplikaci od škodlivého bordelu. (Jistě, uživatel je pořád blbec, že práva povolil. Nic to ale nemění na tom, že aplikace je mallware.)

RSS (komentáře k článku)