Eric Schmidt nedávno informoval o tom, že každým dňom sa do svojich nových Android zariadení prihlási 1,5 milióna používateľov a do konca roka by ich mohlo byť celkovo 1 miliarda. Platforma takýchto rozmerov nielenže láka ďalších spotrebiteľov, ale aj hackerov a ich výtvory v podobe škodlivého kódu ako je malware. Podľa bezpečnostnej firmy Lookout sa v obchode Google Play objavila nová rodina malware s názvom BadNews, ktorá bola súčasťou 32 rôznych aplikácií publikovaných štvoricou rôznych developerských účtov. Nebezpečný kód kradol citlivé dáta používateľov, ako napríklad telefónne číslo a IMEI zariadenia, alebo vyzýval k inštalácii aplikácií, či posielal falošné správy. Podľa Google Play štatistík sa infikovalo 2 až 9 miliónov používateľov.
Firma Lookout uvádza, že je veľmi ťažké dostať škodlivý kód na Google Play a preto sa autori BadNews rozhodli využiť iný spôsob a vytvoriť škodlivú a agresívnu reklamnú sieť, ktorá však navonok pôsobila neškodne. Je to po prvýkrát, čo sa firma stretla s takýmto typom malware. Osobné informácie používateľov odosielal na vzdialený server a falošné správy boli využívané na ďalšiu monetizáciu malwaru alebo propagáciu affiliate aplikácií, medzi ktoré patrí AlphaSMS.
Lookout vysvetľuje, že po inštalácii nakazenej aplikácie, BadNews komunikuje každú hodinu s hlavným serverom C&C (Command&Ccontrol) a dopytuje sa na nové inštrukcie. Súčasťou toho je aj výmena informácií, ako je číslo telefónu a IMEI. Server odpovedá s radou inštrukcií, ako napríklad zobrazenie falošnej správy (príklad je možné vidieť na obr. nižšie). Aplikácia tak zobrazí notifikáciu o dôležitej aktualizácií napr. aplikácie Skype, no po kliknutí otvorí inú adresu.
Badnews má svoje korene pravdepodobne v Rusku, nakoľko až 50% z uvedených aplikácií sú v ruštine, pričom spomínaný AlphaSMS je navrhnutý tak, aby ponúkal platené prémiové služby v Rusku a susedných krajinách, ako je Ukrajina, Bielorusko, Arménsko a Kazachstan. Zatiaľ nie je celkom jasné, či developeri publikovali svoje aplikácie s nekalými úmyslami ponúkať sieť BadNews alebo boli podvedený. Spoločnosť Google ich všetky odstránila a zakázala aj developerské účty, pod ktorými boli publikované.
Zdroj: blog.lookout
