Pod pokličkou: jak funguje škodlivá aplikace

Sociální inženýrství

Virus pro své šíření potřebuje nějaký program, který nakazí. Červ nebo trojský kůň zase zneužijí slabinu v operačním systému. I škodlivá aplikace potřebuje nějakou fasádu, za kterou se může schovat. V posledním případě se jednalo rovnou o tři desítky velice podobných aplikací, které mají sloužit pro přidávání efektů k vašim fotografiím.

V tomto kontextu je důležité, aby si aplikaci stáhlo co nejvíce lidí, potřebná oprávnění nevypadala podezřele a cílová skupina (v tomto případě dospívající dívky) nebyla příliš technicky zdatná. Vše se v tomto případě povedlo a trojice nejstahovanějších aplikací ze seznamu překročila milión stažení.

Ukrýt se v systému

Jakmile se aplikace dostane do telefonu, její legitimní část normálně funguje. Zároveň je ale vytvořen balíček, v tomto případě com.beauamera.projecloud, který není vidět v běžném výpisu aplikací. Uživatelé běžně odstraňují aplikace z hlavního menu a spousta z nich ani neví o výpisu, kde najdou jejich úplný seznam.

Takto ukrytá aplikace pak při odemčení telefonu servíruje uživateli pornografický obsah. Jednak kvůli příjmům ze zobrazené reklamy a dále se jim snaží podsunout další nakažené aplikace výzvou ke stažení přehrávače. To v případě, že uživatel podlehne a pokusí se přehrávat pornografické video nabízené na otevřené stránce.

Další nebezpečnou činností je přesměrování browseru na phishingové stránky, které se tváří jako ty skutečné (např. PayPal), ale snaží se z vás jenom získat citlivé informace. Co přesně má aplikace dělat není napevno dané, protože konfigurace chování se stahuje ze vzdáleného serveru. Je tak pravděpodobné, že nějakou dobu, než se podařilo dosáhnout požadovaného počtu stažení, zůstávala škodlivá část neaktivní.

Pozadu nezůstává ani samotná hlavní aplikace, která krade pořízené fotky. Ty pak zřejmě poslouží při zakládání falešných profilů na sociálních sítích.

Lze se bránit?

Uživatel Androidu v tomto případě tahá za kratší konec. Google přistupuje ke kontrole aplikací povrchně a na podobné excesy reaguje až zpětně. Vzpomeňme například na kauzu sútoky na české mobilní bankovnictví, kdy mu trvalo dlouhé desítky hodin, než podezřelý záznamník hovorů odstranil.

Zodpovědnost tak zůstává hlavně na uživateli, protože už neplatí, že pokud instalujete pouze z Google Play, tak jste v bezpečí. Rozhodně se vyplatí nahlédnout do hodnocení a recenzí, kde si někdo může stěžovat na podezřelé chování aplikace. Asi nejpřesvědčivějším důkazem, že něco není v pořádku, je pak graf hodnocení připomínající písmeno „U“. To znamená, že je zde hodně skutečných hodnocení vyjadřující nelibost s aplikací a naproti tomu hodně pozitivních recenzí z falešných profilů.