A múlt héten beszámoltunk arról, hogy a Google eltávolította a népszerű Chrome kiterjesztést mert az új tulajdonosok rosszindulatú alkalmazássá változtatták. Zavaróan gyakori ismétlésként nagyjából ugyanaz történt egy népszerű Android alkalmazással, amelyet milliószor töltöttek le a Play Áruházból. A semmiből kezdett rosszindulatú hirdetéseket megjeleníteni, és most eltűnt.
Malwarebytes dokumentumok hogy a fórum felhasználói alig több mint egy hónappal ezelőtt arról számoltak be, hogy furcsa előugró hirdetéseket és webhely-átirányításokat láttak mobil böngészőikben. A szolgálat munkatársai némi lopakodása után megállapították, hogy a Lavabird LTD december 4-i „Vonalkódolvasó” frissítése elkezdte felesleges (és esetleg csaló) biztonsági szerverek hirdetéseit tolni több millió felhasználójának.
A Malwarebytes figyelmeztette a Google-t, és az alkalmazás listáját eltávolították a Play Áruházból, de állítólag még távolról sem távolították el az érintett felhasználók telefonjairól (ahogy az a Chrome kiterjesztés esetében történt). Feltehetően az alkalmazás a Play Store általában robusztus védelmi csomagja, a Google Play Protect által csúszott el azzal, hogy a rosszindulatú kódot ártalmatlan frissítésként telepítette ahelyett, hogy hamis alkalmazásként indult volna: évek óta ártalmatlanul használták a frissítés előtt.
Nem világos, hogy mi váltotta ki a változást. A The Great Suspender kiterjesztés esetében nyilvánvalóan a szolgáltatás új tulajdonosai irányították a rossz úton. A vonalkódolvasó esetében nem történt nyilvánvaló változás a tulajdonjogban vagy a fejlesztői viselkedésben, ami rosszindulatúvá tette az alkalmazást. Ha kíváncsi arra, hogy melyik konkrét konzervalkalmazásról van szó, korábban ez volt https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner. Furcsa módon az alkalmazás fejlesztője továbbra is aktív a Play Áruházban, hasonló alkalmazással (augusztus óta nem frissítették). még él. Ugyanazzal az ikonnal szerepel, és (esetleg szándékos?) A „vonalkód-leolvasó” elírása. Fejlesztői információi az indiai Maharashtrát, mint általános Gmail-címet és egy üres weboldalt tartalmazzák. Az alkalmazás korábbi verziói, nyilván ugyanazon fejlesztői fiók alatt, ártalmatlan WordPress oldalt mutatott mint a honlapja.
Kíváncsiságból telepítettem az alkalmazás alternatív változatát. Adatvédelmi irányelveket sorol fel azon a WordPress oldalon, amely meglehetősen szigorú felelősségi nyilatkozattal rendelkezik az alkalmazásokon belüli hirdetések kiszolgálásáról, ez egy szokásos és elfogadható gyakorlat. Nem azonnal láttam a Malwarebytes blogbejegyzésében leírt böngésző-eltérítést. Bármi is tévedett a másik alkalmazással, úgy tűnik, nem a másolattal történik, bár nem világos, hogy a Google miért nem egyszerűen magához ragadta a fejlesztő összes adatait.
A Google erőfeszítéseket tett az Android és a Chrome tisztántartására eddig általában font, annak ellenére, hogy nyitott platformként rejlő sérülékenységük van. De a szemtelen szereplők ötletesek lehetnek a biztonság megkerülésére irányuló erőfeszítéseikben, és úgy tűnik, hogy a régóta megbízható alkalmazások frissítései holtponttá váltak. A Google-nek jobban kell tennie, hogy megvédje felhasználóit minden platformon.
Forrás: Malwarebytes
