קרוב ל 3 מיליון הורדות ליותר מ 30 אפליקציות זדוניות שהתחזו לצ'יטים למשחק מיינקראפט במשך תשעה חודשים. וניסו לגרום למשתמשים להירשם לשירותי פרימיום יקרים. גוגל הסירה את האפליקציות הזדוניות בעקבות הגילוי.
זה לא קל בימנו להכניס אפליקציות זדוניות לGoogle Play - חנות האפליקציות הרשמית של גוגל. סורק האפליקציות האוטומטי של גוגל, המכונה Bouncer, עוזר להפחית משמעותית את מספר האפליקציות הזדוניות, אך מסתבר כעת שגם אותו ניתן לעקוף, וההוכחה לכך היא יותר מ 30 אפליקציות זדוניות שעלו ל Google Play בתשע החודשים האחרונים.
רוב האפליקציות הזדוניות שנחשפו התחזו לצ'יטים (כינוי נפוץ לתוכנות שמאפשרות מעקפים ו"קיצורי דרך") לאפליקציית המשחק הפופולארית Minecraft. בניגוד לאפליקציות זדוניות אחרות שהתחזו למשחקים (כמו לדוגמה במקרה של Angry Birds Space) לאפליקציות המתחזות במקרה הזה אין שום פונקציונאליות מלבד הצגת באנרים שמנסים לשכנע את המשתמשים שהמכשיר שלהם נדבק ב"ווירוס מסוכן". משתמשים שנפלו בפח הועברו ל"סריקת ווירוסים" כביכול, אך למעשה הם נרשמו לשירות פרמיום ב SMS שיעלה להם קרוב ל 100 ₪ בחודש - יותר מפי 2 לשירות סלולארי חודשי ממוצע בישראל הכולל שיחות, הודעות וחבילת גלישה.
כל אותן אפליקציות "הפחדה" (Scareware) התנהגו בדיוק באותו האופן, ההבדל היחידי היו בשמות ובאייקונים שלהן. הם הועלו לחנות ה Play על ידי חשבונות מפתחים שונים, אבל אנחנו מניחים שכולן נוצרו על ידי אותו אדם.
האפליקציה הזדונית הראשונה, מבין אלה שנחשפו כעת, הועלתה לחנות האפליקציות באוגוסט 2014. במהלך הזמן שהן היו בחנות, האפליקציות קיבלו חוות דעת ותגובות שליליות. עם זאת, לפי המידע המוצג ב Google Play כמה מתוך 33 האפליקציות שנתגלו הותקנו בין 100 ל 500 אלף פעמים ומספר ההתקנות הכולל של כל האפליקציות לאורך כל התקופה מגיע לקרוב ל 3 מיליון.
אפליקציית האבטחה של ESET לאנדרואיד מזהה את האיום הזה כ Android/FakeApp.AL. לאחר הזיהוי גוגל הסירה את האפליקציות מה Google Play.
כך זה עובד
לאחר התקנת האפליקציה מופיע במסך הבית של המשתמש אייקון בעל דמיון רב לאפליקציה הרשמית של Minecraft, וכאשר המשתמש פותח אאותה על המסך כולו הייתה נפתחת פרסומת מהבהבת. לאפליקציה עצמה יש שלושה כפתורים – התחל, אפשרויות ו-יציאה, אבל לכפתורים אלה אין שום פונקציונליות. השפה של הפרסומת הותאמה לאזור הגיאוגרפי של המכשיר – התנהגות שכיחה בנוזקות מסוג כופר.
כל ניסיון אינטראקציה של המשתמש עם האפליקציה – כולל הכפתורים התחל, אפשרויות, ויציאה, או לחיצה על הפרסומת עצמה – הובילה את המשתמש לחלון התראה שטוען שהמכשיר נדבק בווירוס ושעל המשתמש ללחוץ על חלון ההתראה על מנת להסיר אותו.
לחיצה על ההתראה הובילה את הקורבן לשלב נוסף בהונאה – אתרי אינטרנט שהכילו עוד כמה הודעות מפחידות. האתרים הללו התחזו לאתרים השייכים לחברת אנטי וירוס לגיטימית הנקראת G-Data.
בשלב האחרון, האפליקציה יוצרת הודעת SMS באפליקציית ההודעות של המכשיר. תוכן ההודעה נראה כמו פקודת הפעלה של תוכנת האנטי וירוס שאמורה כביכול לטפל בווירוס שחדר למכשיר של הקורבן. עם זאת, לאפליקציה הזדונית אין הרשאה לשלוח את ההודעה בעצמה, אך היא גורמת לקורבן לשלוח את ההודעה בעצמו על ידי שימוש בטכניקות של הפחדה והנדסה חברתית. שליחת הודעת ה SMS מצרפת את הקורבן לשירותי פרמיום בתשלום עליהם הוא יחויב קרוב ל 100 ש"ח בחודש.
הערה – לאתרים המתחזים אין כל קשר לחברת האנטי וירוס הלגיטימית G-Data.
לסיכום
הנזק שגורמת הנוזקה שהתגלתה למכשירי אנדרואיד הוא אמנם קטן בהשוואה לתוכנת הכופר Simplocker לאנדרואיד, אבל החשיבות של האיום הזה נעוצה בעובדה שהוא הדביק קרוב ל 3 מיליון משתמשים דרך החנות הרשמית של גוגל.
סורק האפליקציות של גוגל נמצא בשימוש מאז סוף 2011, והוא סורק כל אפליקציה שמפתחים מעלים ל Google Play. מאז תחילת השימוש ב Bouncer, אחוז האפליקציות הזדוניות ב Google Play צנח ב 40%. במרץ 2015 הכריזו בגוגל שאפליקציות חדשות שיועלו ייבחנו גם על ידי בני אדם. הצעד הזה אמור להעלות את רמת האבטחה ולהמשיך להוריד את מספר האפליקציות הזדוניות ב Google Play.
באופן כללי, משתמשי אנדרואיד יכולים להימנע בצורה אפקטיבית מאפליקציות זדוניות על ידי הימנעות מהורדת אפליקציות מאתרים מפוקפקים או לא רשמיים, התקנת אפליקציית אבטחה על המכשיר שלהם (ESET Mobile Security לדוגמה) ולוודא שהיא מעודכנת. כמו כן מומלץ לקרוא את חוות דעת המשתמשים לאפליקציה לפני שאתם מתקינים אותה, ולעקוב ולשקול את ההרשאות אותן מבקשות האפליקציות בזמן ההתקנה.