Trojanizovani adware instalira aplikacije na Android uređaju po svom izboru i bez pomoći korisnika

Mobilni telefoni, 23.11.2015, 01:00 AM

Pre dve nedelje istraživači iz kompanije Lookout upozorili su na tri familije adwarea - Shuanet, ShiftyBug i Shedun, koji krišom rootuju Android uređaje tako da ih je toliko teško ukloniti da je nekada jednostavnije kupiti novi telefon. Oni inficiraju uređaje sakriveni u trojanizovanim verzijama više od 20000 popularnih aplikacija, koje se nude u nezvaničnim prodavnicama aplikacija.

Ovi adwarei rootuju uređaj nakon instalacije i zatim se smeštaju u sistemsku particiju da bi osigurali svoje prisustvo na uređaju, tako ni da vraćanje uređaja na fabrička podešavanja nije od pomoći - malver je skoro nemoguće ukloniti. Istraživači su ih nazvali “trojanizovanim adwareom” jer je krajnji cilj ovih malvera instalacija drugih aplikacija i agresivni marketing.

Sada iz Lookouta stiže novo upozorenje da je Shedun otišao i korak dalje - on ne samo da preuzima neželjene aplikacije, već takođe pokušava da ih instalira tako što na prevaru natera korisnika da mu omogući kontrolu nad Android Accessibility Service, koji obezbeđuje alternativne metode za interakciju sa mobilnim uređajima. Zloupotreba Android Accessibility Service od strane nekog malvera radi instalacije drugih aplikacija je prilično neuobičajena, kažu istraživači.

Shedun ne koristi neki bezbednosni propust u ovom servisu, već koristi njegove legitimne funkcije. Dobijanjem dozvole za korišćenje ovog servisa, Shedun može da čita tekst koji se pojavljuje na ekranu, da utvrdi da li je započela instalacija aplikacije, da skroluje listu dozvola, i na kraju pritisne dugme za instalaciju bez ikakvog učešća korisnika u tome.

Posle rootovanja uređaja, Shedun maskiran u popularnu aplikaciju ili sistemski uslužni program, traži od korisnika da uključi Accessibility Service. Shedun se koristi jednim trikom - on u poruci koju prikazuje na ekranu laže korisnika da mu Accessibility Service može pomoći da zaustavi neaktivne aplikacije koje ne koristi. Accessibility Service to ne radi, niti može da obezbedi korisniku maksimalno ubrzanje rada uređaja, kako to tvrdi Shedun.

Ovo traži interakciju žrtve koja mora da uključi ovaj servis, ako poveruje u tvrdnje adwarea. Od trenutka kada je servis uključen instalacija aplikacija je dalje automatska.

Shedun će tada prikazati pop-up reklamu za drugu aplikaciju. Bez obzira na to što će je žrtva verovatno isključiti, aplikacija će biti preuzeta posle čega će Shedun iskoristiti Accessibility Service da bi automatski odobrio sve dozvole za ovu aplikaciju i instalirao je bez ikakve pomoći korisnika.

Shedun verovatno koristi ovu tehniku da bi povećao prihod od instalacije aplikacija koje reklamira. Marketinške firme plaćaju više za reklamne kampanije u kojima korisnici zaista imaju interakciju sa aplikacijom posle preuzimanja, nego kada samo preuzmu aplikaciju i zaborave na to.

Shedun ovako frustrira korisnika aplikacijama koje reklamira i koje potom bivaju instalirane, a istovremeno uzima novac od oglašivača, kršeći pri tom njihovu politiku.

Istraživači Lookouta kažu da se ova vrsta malvera razvija veoma brzo i da ćemo u budućnosti tek videti pojavu novih sofisticiranijih familija malvera.

A kako Shedun obezbeđuje pomoć žrtve u uključivanju Accessibility Service i kako zatim koristi ovaj servis za instaliranje aplikacija bez ikakvog učešća korisnika u tome možete pogledati na video snimcima koji su objavljeni na blogu kompanije Lookout.