Skadevaren på de 210 applikasjonene eksponerer andre skadelige applikasjoner av reklame, og kan dessuten hente ut informasjon som for eksempel telefonnumre. Dette melder datasikkerhetsselskapet Check Point, som har lagt ut en fullstendig liste over appene det gjelder.
Applikasjonene er utviklet av forskjellige programvarehus, uten at utviklerne har vært klar over at de har utviklet en app med skadevare. Til felles har utviklerne at de benyttet seg av det samme biblioteket for videohåndetering, typisk brukt i simulatorspill på mobilen.
Skadevaren har derfor fått navnet «SimBad».
Bibliotek for videohåndtering
Skadevaren ligger i SDK-en («software development kit») «RXDrioder», som tilbys av ‘addroider[.]com’ som et annonserelatert SDK.
Check Point tror at utviklerne ble lurt til å bruke den skadelige SDK-en, uten å vite hva den inneholdt. Kampanjen rettet seg dermed ikke mot et bestemt land og er ikke laget av samme selskap.
Google har nå fjernet de 210 applikasjonene, som rakk å nå nesten 150 millioner nedlastinger. Teknologisjef i Check Point Norge, Nils-Ove Gamlem mener det er grunn til å tro at det kan være langt flere applikasjoner med samme skadevare der ute.
– Iveren etter å raskere utvikle en ny applikasjon kan gjøre at utviklere ikke har like stort fokus på sikkerhet, sier Gamlem, som ikke tror det er siste gang vi vil se slik skadevare.
Check Points årlige sikkerhetsrapport: Mobilen, skyen og IOT de svakeste leddene i bedrifters nettverk (for abonnenter).
Infeksjonskjeden:
Når brukeren laster ned og installerer en av de infiserte applikasjonene, utfører «SimBad» handlinger etter at enheten har startet opp og mens brukeren bruker enheten og applikasjonen.
Etter installasjonen kobles den skadelig programvaren til den angitte Command and control-serveren (C&C), og mottar en kommando som skal utføres. «SimBad» kan på denne måten utføre flere ulike funksjon på brukernes enhet, som for eksempel å fjerne ikonet fra startprogrammet, noe som gjør det vanskeligere for brukeren å avinstallere. Den begynner også å vise bakgrunnsannonser og åpner en nettleser med en gitt URL.
Flere apper avvist: Google avviser nå rekordmange apper fra utviklere.
Tre funksjoner
Funksjonene til skadevaren «SimBad» kan deles inn i tre grupper: Visning av annonser, nettfiske og eksponering til andre applikasjoner.
Med muligheten til å åpne en gitt nettadresse i en nettleseren, kan aktøren bak «SimBad» generere phishing-sider for flere plattformer og åpne dem i en nettleser, og dermed utføre spear-phishing (målrettet nettfiske) på brukere.
Med muligheten til å åpne markedsapplikasjoner som Google Play og 9Apps, med et bestemt søk eller til og med en enkelt applikasjonsside, kan aktøren gi eksponering til andre trusselaktører og dermed enkelt øke profitten.
Typisk innebærer dette at brukeren eksponeres for andre infiserte spill inne i mobilspill, noe som fører til flere nedlastinger.
Aktøren kan også installere et eksternt program fra en bestemt server, og på den måten installere ny skadevare hos brukerne senere.
Flere tilfeller: Android-apper med millioner av nedlastinger stjeler bildene dine og brukes til phishing-angrep.
Adware med stort skadepotensial
Med mulighetene for å vise annonser, utsette brukeren for andre applikasjoner og åpne en nettadresse i en nettleser, fungerer «SimBad» nå som en adware, men har infrastrukturen til å utvikle seg til en mye større trussel, mener sikkerhetsselskapet.
Skadevaren ble først blokkert og innrapportert av sikkerhetsprogramvare hos en kunde av datasikkerhetsselskapet. Selskapets researchavdeling fant senere de 210 applikasjonene som var infisert av samme skadevare.
