Lookout, firma zaoberajúca sa bezpečnosťou na mobilných zariadeniach, zverejnila informácie o štyroch aplikáciách z Google Play Store, ktoré tajne špehovali užívateľov.
Všetky tieto aplikácie obsahovali škodlivý kód, ktorý Lookout nazvali Overseer. Aplikácia vďaka nemu sledovala geografickú polohu zariadenia a zbierala údaje o tom, komu a kedy píšete.
Podľa Kristy Edwards, produktovej manažérky Lookoutu, sú „tieto informácie neskutočne cenné pre útočníka, ktorý chce zistiť, kde sa osoba nachádza a s kým komunikuje.“
Embassy, jedna z infikovaných aplikácií, fungovala podľa opisu na Play Store. Umožňovala užívateľom vyhľadať ambasády svojich krajín v zahraničných mestách. Zároveň však premenila ich smartfóny na sledovacie zariadenia a odosielala zoznamy e-mailových kontaktov na účty hostované na serveroch patriacich Facebooku a Amazonu. Ostatné tri aplikácie sa propagovali ako čítačky noviniek z internetu, ale v skutočnosti nefungovali. Tak či tak, obsahovali Overseer a zbierali dáta.
Varianty Overseera vedia zbierať a odosielať nasledovné informácie:
- Kontakty (vrátane mena, čísla, mailovej adresy a časoch komunikácie)
- Všetky užívateľské kontá na zariadení
- ID najbližšej stanice, GPS súradnice, network ID a kód lokácie
- Názvy nainštalovaných aplikácií, ich povolenia a či boli sideloadované
- Voľná externá a interná pamäť v zariadení
- IMEI, IMSI, MCC, MNC, typ telefónu, operátor siete, názov operátora, výrobca zariadenia, ID zariadenia, model zariadenia, verzia Androidu, Android ID, SDK level a číslo buildu
- Či bolo zariadenie akýmkoľvek spôsobom rootované
Bežný malvér sa dá rozpoznať podľa toho, že odosiela dáta na náhodné pofidérne servery do cudzích krajín. Overseer však posielal informácie na servery hostované pod Facebookom a Amazonom, takže dátová premávka vyzerala byť v poriadku – špeciálne v Amerike.
Google už všetky inkriminované aplikácie odstránil z Play Store, ale situáciu ďalej nekomentoval.
Zdroj: cnet.com, blog.lookout.com
Autor: Pavol Ondruška