Bár a két uralkodó mobil operációs rendszer tulajdonosai igyekeznek mindent megtenni, hogy saját "kertjüket" kártevőktől mentesen tartsák, ez a jelek szerint nem minden esetben sikerül. Az Androidra különösen rájár a rúd ebből a szempontból, mert az elmúlt időszakban több kártékony kódot futtató alkalmazás is átcsúszott a Play Store védelmi rendszerén. Pár napja egy újabb ilyen incidensről érkezett hír, ahol a fertőzött appok féktelenül kattintgatták a felhasználónak meg sem jelenő hirdetéseket.

Bűnszövetségben elkövetett nagy mennyiségű kattintás

A Sophos Labs munkatársai publikálták múlt héten felfedezésük részleteit, amelynek során 22 androidos alkalmazás bukott le azzal, hogy fű alatt reklámokat klikkelget. A hivatalos Andorid appboltból elérhető programokat több mint 2 milliószor töltötték le, mielőtt a Google a biztonsági cég figyelmeztetétést követően kipurgálta azokat az App Store-ból.

Az Andr/Clickr-ad elnevezésű kártevőt a szakemberek jól felépített, ragaszkodó adware-nek titulálták, amely a hirdetési rendszerek üzemeltetői mellett maguknak a felhasználóknak is sok gondot okozhat azzal, hogy folyamatosan igénybe veszi a készülék erőforrásait. Arról nem is beszélve, hogy a telepített hátsó ajtó segítéségével akármilyen más, még ártalmasabb kódot is képesek lehetnek a felhasználók mobiljaira telepíteni a kártevő gazdái. Igaz, erre a jelek szerint nem került sor, mert utóbbiak megelégedtek azzal, hogy bankszámlájukat dagasztják a hamis hirdetési kattintások elkönyvelésével.     

Az egyik zavarosban halászó fejlesztő néhány alkalmazása (forrás: SophosLabs)

A Sophos részletes beszámolójából az is kiderül, hogy a kétes műveletek nyáron kezdődtek. Érdekes módon az inkriminált alkalmazások közül hármat jóval korábban, már 2016-ban, illetve 2017-ben indítottak, és ezeknél a korábbi verziók nem tartalmazták a felfedezett kártevőt. A 22 lebukott app néhány fejlesztőhöz köthető, de az egyelőre nem világos, hogy ezek a vállalkozások milyen kapcsolatban állnak egymással. Az is érdekes, hogy a fejlesztők néhány alkalmazásának iOS-változata szintén elérhető az App Store-ból, ám a kutatók ezekben nem bukkantak az Andr/Clickr-ad nyomára.

Agresszív kaméleon

A kód rendkívül agresszíven viselkedik, ami többek között azt jelenti, hogy folyamatosan kapcsolatban áll az utasításokat adó szerverével, és akkor is képes perceken belül újraindítani magát, ha a felhasználó esetleg külön letiltaná az appot. A nulla pixel méretű hirdetések így folyamatosan és gond nélkül termelhették a pénzt.

A készítőknek azonban ez nem volt elég, és egy extra trükköt bevetve újabb szintre emelték a csalást. A kártevő ugyanis hamis készülékadatokkal téveszti meg a hirdetési rendszereket, és az Apple mobilcsaládjának valamelyik verziójának adja ki magát. (A hirdetők ugyanis többet hajlandóak fizetni az iPhone-ról érkező kattintásokért.) Ráadásul ezt is elég körmönfontan teszi, mivel a hamis készülékadatokat kellően széles portfólióból választja ki a program: a kutatók az iPhone 5-től a 8 Plusig találtak hamis adatokat. A lebukást elkerülendő azért mindemellett volt még a kamu arzenálban majdnem 250 féle androidos készülék is 33 gyártótól, amelyeken az Android 4.4.2-től 7.x-ig "futott" egy sor különböző változat.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »