15:03
3/3/2011

Ktoś wpadł na interesujący sposób infekowania użytkowników telefonów z Androidem na pokładzie. Technika jest prosta: z Android Marketu wybiera się popularne, darmowe aplikacje, a następnie dodaje się do nich złośliwy kod i z powrotem umieszcza na Android Markecie. Efekt? 200 tysięcy pobrań zainfekowanych aplikacji i reakcja Google dopiero po 8 dniach.

Exploit ukryty w aplikacjach na Androida

Przykładem aplikacji, która została wykorzystana do infekowania użytkowników Androida jest Guitar Solo Lite, która w Android Markecie pojawiła się w zmodyfikowanej wersji pod nazwą Super Guitar Solo

Android Malware Apps

Klony popularnych aplikacji na Androida z exploitem w prezencie

Zmodyfikowana wersja zawierała oprócz oryginalnej aplikacji także exploita rageagainstthecage (CVE-2010-EASY Android local root exploit (C) 2010 by 743C), który próbuje uzyskać prawa roota na telefonach z Androidem, a następnie dociąga więcej złośliwych aplikacji (już nie z Android Marketu) i wykrada numery IMEI i IMSI, wysyłając je na serwer atakującego.

Developerzy narzekają na Google

Developerzy zgłaszali problem z podrobionymi aplikacjiami do Google od przeszło tygodnia, każdym możliwym kanałem. Jednak dopiero po publikacji na Reddicie Google zareagowało i usunęło 21 aplikacji (chociaż niektórzy czytelnicy wskazują 35 kolejnych, które zostały nietknięte…)

Developerzy z jednej strony cieszą się, że Android Market jest otwartą platformą, która pozwala im na natychmiastowe publikowanie aktualizacji swoich aplikacji, ale z drugiej strony zastanawiają się, czy Google nie powinno wprowadzić moderacji (lub szybciej reagować na zgłoszenia) — jak żartują, Reddit nie powinien być preferowanym kanałem obsługi klienta…

I żeby nie było, że Apple ze swoim zamkniętym AppleStore jest “lepsze”, przypominamy, że jakiś czas temu przez proces weryfikacji prześlizgnęła się aplikacja “Latarka”, która miała ukrytą funkcję — pozwalała na włączenie tetheringu, uznawanego przez Apple za nielegalny.

P.S. Komórki to wdzięczne ofiary. Ma je prawie każdy i prawie nikt, poza grupką pryszczersów, nie aktualizuje na nich firmware’u…

Przeczytaj także:


37 komentarzy

Dodaj komentarz
  1. A ja właśnie się przymierzałem do kupienia htc z androidem. Widać, że ściągając z oficjalnych serwerów Google trzeba mieć się także na baczności i sprawdzać aplikację pod kątem opinii w internecie.

    • Albo uważnie patrzeć o jakie prawa prosi przy instalacji.

    • @Piotr Konieczny – dokładnie – jeśli ktoś instaluje sobie kalkulator, który wymaga dostępu do danych użytkownika, łączenia się z Siecią a na dodatek chce czytać i wysyłać SMS’y, to jest sobie sam winien.
      Kilkukrotnie spotkałem się z takimi aplikacjami, które jak na mój gust za dużo chciały wiedzieć. I co ? Zainstalowałem inne, o podobnej lub takiej samej funkcjonalności ;)

      Co do samego problemu, to czytałem o tym już jakiś czas temu (na bank dalej jak w połowie lutego). Developerzy skarżyli się na podszywanie się pod nich: ktoś ściągał popularną, darmową aplikację, wrzucał ją na Market i dodatkowo żądał zapłaty (najczęściej bardzo niskiej, żeby sporo ludzi się skusiło). Efekt ? Szybka i łatwa kasa…
      O malware i trojanach nikt nie wspominał…

    • Dziękuje, teraz będę wiedział na co zwracać uwagę ;)

  2. Prosta sprawa (poza oczywiście instalowaniem aktualizacji systemu), otóż.. zanabyć sobie jakiś dobry soft do zabezpieczenia systemu.

    Testowałem przez dwa tygodnie KMS 9 dla Androida (na Samsung Galaxy Tab) i muszę Wam powiedzieć, że “to je ono”.

    Nie tylko na bieżąco wykrywa trojany i inne świństwa (w tym nadesłane nam z sieci lub takie, jakie chce pobrać zainstalowana już aplikacja) – oczywiście pod warunkiem, że aktualizujemy bazy antywirusowe, to jeszcze ma kapitalny mechanizm czarnych i białych list, który umożliwia nam skuteczne pozbycie się wszelakich reklamodawców (zarówno SMS/MMS jak i telefinicznych) jak i wyblokowanie numerów, z którymi nie chce nam się gadać – w tym – np. zastrzeżonych/prywatnych. Raz zaznaczamy, że dana rzecz to śmieć.. i papa.

    Do tego aplikacja nie muliła mi ani razu, nie wywaliła się.. ani nic z tych rzeczy.

    Owszem, jest to jakiś tam wydatek rocznie, ale z drugiej strony można później spokojnie używać swojego tabletu/smartfonu bez obawy, że coś brzydkiego nam przypełznie (a problem ten dotyczy również pozostałych platform, jak Windows Mobile, Symbian i.. iOS… tu jest tylko o tyle kłopot, że w iOS nie można zainstalować antywirusa… Apple się nie zgadza).

  3. Mną wstrząsnęło pierwsze zdanie artykułu, z którego wynika, że malware przeszedł już od infekowania komputerów i smarkfonów do infekowania użytkowników. Dalej nie ośmieliłem się czytać, boję się… ;>

  4. Do mojego Desire HD wyszedł nowy kernel wraz z łatką na ten exploit, więc nic strasznego – developerzy custom ROMów i kernelów przychodzą z pomocą! :)
    Więcej na ten temat: http://forum.xda-developers.com/showthread.php?t=977154

  5. no ładnie wychodzi na to że jestem pryszczersem :D cokolwiek to znaczy :P

    • chyba to ze lubisz sie pryczyć ;)

  6. Tylko co zrobić, jak dany program potrzebuje tych praw do do poprawnego działania :?
    Może programy wrzucane na Android Market powinny przechodzić przez jakieś testy Google, wtedy dostawałyby certyfikat. Można by odpalić program bez niego, ale po potwierdzeniu że godzimy się z ryzykiem.
    @Tomek – To znaczy że jesteś zezulcem :D

  7. Apple nie uważa tetheringu za nielegalny, tylko każe sobie za niego płacić. Znaczy AT&T każe, a Apple ma z tego procenty. :)

  8. Sam piszę aplikację na androida (po części pisze o tym również na blogu) i jestem strasznie zaszokowany tym jak łatwo można wstrzyknąć złośliwą aplikację do marketu.

  9. teraz bedzie wysyp anty-malware na androida, ciekawe kiedy zaczna sie pojawiac anty-malware z malware w srodku ;o)

    http://lifehacker.com/#!5775320/how-to-protect-your-android-against-more-than-50-malware-apps

  10. Z tymi pryszczersami to niestety prawda. Jak przyjechałem tydzień temu do Polski, od razu mi wyskoczyło 11 pryszczy (policzyłem!), a trzeba wiedzieć, ze niedługo przed samym wyjazdem uaktualniłem (w końcu) firmware mojego routera.

  11. IMO nie trzeba żeby wprowadzali moderację – wystarczy coś w stylu wikipedii, gdzie są artykuły przejrzane i nie przejrzane. Te aplikacje które byłyby zweryfikowane przez Google, byłyby teoretycznie bardziej bezpieczne, niż te niezweryfikowane. I tyle, takie rozwiązanie problemu.

  12. Szczegółowa analiza dwóch błędów wykorzystywanych przez te aplikacje:
    http://blog.fortinet.com/android-droiddream-uses-two-vulnerabilities/

  13. Nie aktualizuje firmware… bo i nie ma skąd. HTC Desire HD, “flagowy” okręt, a aktualizacji nie ma (z xda-developers pomijamy – to nie dla “normalnych” ludzi)

  14. A ja mam Badę, na razie na tyle mało popularna, że malware’u chyba jeszcze żadnego nie ma :-)

  15. Jak antywirus wykrywa takie zagorożenia? uzywam AVG na androidzie, póki co nie alarmował mnie jeszcze o niczym podejżanym.

  16. @PiotrK. .. chyba nie masz Androida, jak mozna zwrocic szczegolna uwage na aplikacje kalkulatora ktory żąda dostepu do internetu bo jest wspierana przez reklamy? Co wiecej .. jest wiele takich aplikacji ktore z definicji powinny miec dostep do wspomnianych funkcji. Co wtedy? Sprawdzac kod? :) Nie instalowac? Tylko po co mi wtedy smartfon ..

  17. Dobra, to teraz taka mała rada: myślcie zanim coś zainstalujecie. Jeśli program wydaje się wam podejrzany a KONIECZNIE chcecie go mieć (i nie ma żadnej alternatywy na markecie) to sprawdźcie chociaż ile osób już go pobrało, kiedy został dodany do Marketu, jakie są wrażenia użytkowników i kim jest developer.

    Jakoś nie wyobrażam sobie, żeby nie było alternatywnych programów z ‘normalnymi’ wymaganiami…
    Aplikacje zrobią wam takie ‘kuku’ na jakie im pozwolicie ;)

    PS. Pomijam kilka przypadków kilka(naście) miesięcy temu, kiedy media podniecały się niedopatrzeniem Google i nie zdjęciem z Marketu aplikacji do szpiegowania (która faktycznie szpiegowała, tyle że takie było jej przeznaczenie, zaznaczone w opisie programu :P)

  18. Namówmy ludzi żeby kupowali spowrotem stare telefony typu nokia 5110 / 3310 / lub SE K750i / w995 z komisu / bazarku i wszystkie problemy znikną.

    Z pozdrowieniami
    Kochający Jave pryszczers.

  19. Tu patrzenie na uprawnienia nic nie da bo aplikacja uzyskuje dostęp root’a bez wiedzy użytkownika.

  20. Skoro tylko pryszczersi aktualizują firmware, to kim ja jestem, jeśli instaluje ROMy z xda ? :|

  21. Klient niedawno prosił o doradzenie jakie smartfony kupić dla pracowników. Potrzeby: email i dostęp do firmowego www.

    Apple – w PL zbyt duży koszt
    Blackberry – mało popularny w PL, kiepski dostęp,też drogo wychodzi
    Android – no właśnie z pudełka nie jest idiotoodporny
    Nokia + Symbian – hmm, znane problemy rynkowe

    No i tak sobie pomyślałem, że szkoda iż Nokii nie bardzo udało się stworzyć rozwojowej oferty smartfonów dla biznesu. Certyfikowanie aplikacji nie było głupim pomysłem.

    I też ciężko znaleźć coś dobrego bez aparatu foto. Nie wszędzie można wnosić aparaty…

    Pewnie doradzę Androida, ale będę się z tym gryzł, wiedząc że to nie jest to.

  22. @Smok wiesz, niestety w wielu korporacjach jest tak, jak piszesz. Np. zdanie, że coś nie jest “idiotoodporne”. Ja bym podszedł do problemu od drugiej strony: to po co dana korporacja zatrudnia… idiotów? Po co w takim razie jest dział HR, po co są dyplomy uczelni, po co są certyfikaty, CV, cała zabawa w przesiewanie i rekrutację, a potem szkolenia itd… skoro na koniec i tak pracują w firmie… idioci? ;-)

    Dalej, co właściwie oznacza, że Android nie jest idiotoodporny? Że nie wolno smartfona z Androidem używać pod prysznicem? Bo co do reszty.. to działa, wygodnie i szybko. Poczta działa, kalendarz działa, aparat/kamera działa…

    Niestety, po de facto śmierci Maemo (szkoda, szkoda.. wielka szkoda, że Nokia nie wyczuła, że oto właśnie ma TO COŚ), Android jest jedynym, nadającym się jeszcze do użytku systemem mobilnym na rynku (pozostałe albo mają szereg kretyńskich ograniczeń, albo tak maleńki udział w rynku, że szkoda tracić na nie czas). Symbian natomiast umiera (i IMHO nie ocali go nawet jego otwarcie) – też głównie dlatego, że Nokia nie umiała na czas zmienić nastawienia i przegapiła dość istotne zmiany na rynku. N8 tego nie zmieni.

    HINT: jeśli nie można wnosić aparatu, to najczęściej i tak komórkę musisz zostawić w depozycie przy wejściu (tak jest np. w jednostkach wojskowych) więc w czym problem?

    • Idealny kontrargument na “ale ten telefon nie jest idiotoodporny!” :D
      Jeśli kupuje się smartphony dla pracowników firmy, to zakładam że tam pracują ludzie dorośli i myślący…
      Dostęp do poczty (synchronizacja z serwerem firmowym…), terminarza (to samo…) nie jest dla pana Stasia z kotłowni (no offence :)). Skoro to mają być ‘sprytne telefony’ to użytkownicy nie mogą być debilami – jeśli są, to daje im się nokię 3310 i notatnik, niech z tego korzystają.

      Swoją drogą, skoro w zasadzie każdego można nauczyć korzystania z komputera (ale np. w ograniczonym stopniu: program księgowy, klient poczty) to dokładnie to samo można zrobić w przypadku najnowszych telefonów ! 2-3 aplikacje do ogarnięcia i tyle…

    • Chris, oczywiście masz dużo racji i nie będę tego negował, może tylko uzupełnię.

      To nie dojrzała korporacja, to niewielkie polskie przedsiębiorstwo w formie jednoos. dział. gosp. (25-30 pracowników).
      Usługi IT dotychczas kupowali na zewnątrz; na zasadzie, że szef coś wymyślił i wynalazł dostawcę.
      Mnie zawołano do jakiejś tam pierdoły, no i zajmuję się tam coraz większym obszarem.

      Zauważyłem, że wielu pracowników zajmuje się dziwnymi czynnościami jak np. przepisywaniem czegoś z jednego programu do drugiego. Działa to sprawnie, bo szef jest dobrym organizatorem, ale sam zauważył, że dalszy rozwój okupiony jest niewspółmiernymi kosztami. Przekonałem go (na przykładach ;) ), że spowodowane jest to brakiem automatyzacji. I wdrażamy różne moje pomysły; na razie są zadowoleni a nawet są konkretne wyniki finansowe.

      Standaryzację telefonów w firmie już sam wymyślił, zachęcony moimi działaniami ;)

      Ja jestem zwolennikiem takich usług jak np. unix shell. User dostaje potężne narzędzie, którego jednak nie jest w stanie popsuć. Co najwyżej rozwali swój config, który mu automagicznie przywrócę – a sam system będzie działał. Jestem też przeświadczony o słuszności bardzo starej zasady, że jeśli user ma wcisnąć dowolny klawisz, to wciśnie Esc.

      Takie podejście ma zalety finansowe – obniżanie kosztów obsługi. Obawiam się, że userzy zaawansowanych smartfonów, w momencie gdy zabraknie im jakiejś funkcji, zaczną tworzyć własne – tracąc na to mnóstwo czasu. Wolałbym, aby zwrócili się z tym do mnie, a ja bym im masowo wdrożył rozwiązanie – bo ja zrobię to lepiej. Dzięki temu będę też wiedział gdzie jest wąskie gardło, co szwankuje. Kolejne sprawy to standaryzacja z uwagi na security i wdrażanie przyszłych rozwiązań. Jeśli kiedyś np. będę chciał zmienić współdzielenie kontaktów, to muszę wiedzieć jak wyglądają ich książki telefoniczne.

      Nie podoba mi się również zbyt szybkie zmienianie modeli. Np. taka Nokia E61/E61i to chyba z 5 lat na rynku w niezmienionej formie.

      Oczywiście skoro Android tego wszystkiego nie ma z pudełka, to mogę sam na tym zarobić pieniądze. No ale jak to się mówi, nie zarobi się wszystkich pieniędzy ;)

      To takie luźne uwagi, na razie dopiero podchodzę do tematu.

  23. a ilez to razy slyszalem/czytalem, ze tylko instalacja oprogramowania z android market jest bezpieczna i pewna. i co? jajco jak zwykle. do chorego systemu aktualizacji telefonow doszedle teraz problem zapanowania i utrzymania porzadku w ogromnej bazie programow. problemy przed ktorym nawet geek nie jest w stanie sie obronic. chyba, ze ma sie czas i zdolnosci do zabawy pt. reverse engineering

  24. @Torwald,
    wahałem się czy o tym pisać, no ale dobra ;)
    Dla pana zajmującego się stróżowaniem również przewidziałem smartfona. Aby nie trzeba było dla niego tworzyć osobnego kanału informacji.

    Czekając na stróżówce, zauważyłem że miał ten pan problem z obsługą monitoringu napędzanego myszą. Pomógł … trackball.

    Informatyka ma rozwiązywać ludzkie problemy, tak myślę.

  25. Jak sprawdzić czy ma się tego trojana u siebie na telefonie?

  26. Hihi. Gdy cokolwiek pojawia sie o androidzie, czy innym systemie smartfonowym, zaraz zaczyna sie dyskusja. Android cacy, symbian umarl :) kazdy uzywa tego co mu pasuje. Jeden uzywa symbiana, drugi andoida, trzeci nokii 3310. Osobiscie uzywam symbiana juz ktorys rok z kolei. Teraz przymierzam sie do zakupu nokii e7 z martwym symbianem :D

  27. Google już (po 4 dniach….) wydaje łatkę: http://mojdroid.pl/2893/poprawka-dla-marketu-od-google-ta-od-bezpieczenstwa

  28. Ja na swoim DHD z Androidem Mam Romy z xda, kernele, radia I wszystko smiga I buczy Choc ani pryszczaty ani nienormalny nie jestem a aplikacje tak jak w PC jak cos jest podejrzane to sie to zostawia w spokoju ale dobrze ze są ludzie nieostrozni inaczej bym już dawno stracil zajecie a tak zawsze jest co robić Pozdro

  29. A ja chciałbym sobie regularnie aktualizować swojego staruszka Win Mobile 6.1, ale nie mogę, bo telefon nie jest w stanie się połączyć z serwerem MSu.

    W ogóle wkurza mnie to, że aplikacji na telefony bez dotykowego ekranu jest tyle co kot napłakał. A ja po prostu nie lubię mazać paluchami po ekranie i już! : )

  30. […] poprzednich atakach, które opisywaliśmy na Niebezpieczniku, złośliwe aplikacje musiały zostać uruchomione przez użytkownika, żeby móc przejąć […]

  31. […] aplikacji (o tym się słyszy, choćby tu: Android Market Apps Hit With Malware, czy tu: 21 popularnych aplikacji na Androida z trojanem w prezencie), dlaczego w innych "obszarach" ma być […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: