Ondsindede applikationer er blevet snigende ind på Google Play Store og påvirker brugernes enheder. For nylig, den mobile vagtfirma Lookout har rapporteret 13 kompromitteret applikationer beliggende i Store. Henholdsvis, Google har fjernet dem. Men, Lookouts forskere har gjort en besværlig opdagelse – udviklerne af Brain Test malware er vendt tilbage.
Læs mere:
Mobile Malware 2015
Hvordan blev jeg offer for cyberkriminalitet?
BrainTest Malware Tidslinje
Da Check Point-forskere analyserede hjernetest tilbage i september 2015, de konkluderede, at malwaren havde nået et nyt niveau af sofistikering. Brain Test blev derefter en af de største trusler på det mobile malwaremarked.
Den første optræden af Brain Test fulgte et lignende scenario som med den nyligt slettede 13 Google Play apps. Malwaren var inkluderet i et Android-spil kaldet Brain Test og blev udgivet to gange på Google Play. Statistik viste, at hver instans blev downloadet mellem 100,000 og 500,000 gange. Derfor, infektionsspændet for malware nåede det forfærdelige antal af 200,000 til 1 million brugere. Engang opdagede Check Point-forskere den malware, der nu kaldes Brain Test, de kontaktede Google Play.
Men, malware-forfatterne spildte ikke meget tid. I oktober 2015, nye forekomster af hjernetest, ligner de oprindelige, blev opdaget af Lookout. De dårlige nyheder? Nogle af de nyopdagede apps havde hundredtusindvis af downloads og, værre endnu, mindst en firestjernet gennemsnitlig anmeldelsesscore. De høje scores af apps var et udtryk for en god oplevelse med appen.
Konklusionen var let at lave – udviklerne af Brain Test malware kom ind i Google Play med succes ved at bruge et legitimt spil på en eller anden måde. Under disse opdagelser, Lookout-forskere var stadig ikke sikre på, hvem udviklerne af malwaren var. Lige før jul, Cake Tower-spillet modtog en opdatering om en funktionalitet svarende til de første versioner af Brain Test, der delvist afslørede malware-oprindelsen. En ny kommando- og kontrolserver blev også opdaget, som bekræftede, hvem udviklerne var.
Dette er, hvad Chris Dehghanpoor fra det mobile sikkerhedsfirma Lookout har sagt:
“Nogle [apps] er højt vurderet, fordi de er sjove at spille. Uhyggeligt, selv, apps er i stand til at bruge kompromitterede enheder til at downloade og positivt anmelde andre ondsindede apps i Play Butik af de samme forfattere. Dette hjælper med at øge downloadtallene i Play Butik. Konkret, den forsøger at registrere, om en enhed er rootet, og i så fald, kopierer flere filer til systempartitionen i et forsøg på at sikre vedholdenhed, selv efter en fuldstændig fabriksnulstilling.”
Nogle af de programmer, der blev fjernet fra Google Play, inkluderede Cake Tower, Kageblast, Spis boble, Honningkam, Skør gelé, Skøre blok, og Tiny Puzzle.
Hvad gør hjernetest-malware-stammer?
Som påpeget af Lookout, efter den indledende vedholdenhedsrutine er afsluttet, flere baggrundstjenester tjekker løbende ind med kommando-og-kontrol-serverne. Som med de indledende Brain Test-versioner, den seneste variant er også programmeret til at downloade yderligere konfigurationsparametre fra kommando-og-kontrol-serveren, udføre vilkårlige kommandoer som root, og dynamisk eksekvere Java-kode.