Trapdoor-vakoiluvirhe: 455 Android-sovellusta veivät 24 miljoonan käyttäjän puhelimet mainoshuijausverkkoon – Google poisti, mutta tarkista oma laitteesi
Hidastunut Android-puhelin ja outo akun kulutus voivat johtua siitä, että laite klikkailee mainoksia hyökkääjien hyväksi taustalla. HUMAN Securityn tutkijat paljastivat 455 Play Storesta levinnyttä apusovellusta, jotka muuntavat käyttäjän laitteen mainospetosrobotiksi ilman näkyvää jälkeä.
Tiivistelma
HUMAN Securityn Satori-tutkijat julkaisivat raportin Trapdoor-operaatiosta, jossa 455 Google Playssä jaettua Android-sovellusta keräsi yli 24 miljoonaa asennusta ja tuotti huipussaan 659 miljoonaa petollista mainoshuutopyyntöä päivässä. Google on poistanut sovellukset, mutta ennen poistoa asentaneiden tulee tarkistaa laitteensa itse.
Puhelin tuntuu kuumalta yöpöydällä, vaikka näyttö on ollut sammuksissa tunteja. Akku on laskenut 30 prosenttia. Mobiilidatasta on syöty pari sataa megatavua.
Mitään ei ole ollut auki.
Tällainen oire saattaa olla merkki Trapdoor-nimisen operaation jäljistä laitteella. HUMAN Securityn Satori-tutkijaryhmä julkaisi 19. toukokuuta raportin, jonka mukaan 455 Google Play Storessa jaettua sovellusta käytti puhelimia hiljaisesti mainospetosten alustana. Asennuksia kertyi yli 24 miljoonaa kampanjan elinkaaren aikana, ja huipussaan verkko tuotti noin 659 miljoonaa petollista mainoshuutopyyntöä päivässä.
Google on poistanut tunnistetut sovellukset ja päivittänyt Play Protectin estämään saman käyttäytymisen automaattisesti. Operaatio on Satorin sanoin tehokkaasti neutralisoitu. Puhelimet, joille sovellus ehti asentua ennen poistoa, eivät kuitenkaan puhdistu itsestään.
Näin Trapdoor toimii
Miten 455 sovellusta sai kaikessa hiljaisuudessa läpäistä Play Storen tarkastukset? Hyökkäys etenee aina samaa kaavaa.
Käyttäjä asentaa Play Storesta apusovelluksen, joka näyttää tavalliselta: PDF-katselija, tiedostohallinta tai puhdistin- tai boosteri-tyyppinen optimointiohjelma. Käynnistyksen yhteydessä sovellus näyttää järjestelmäpäivitystä matkivan ilmoituksen, joka painostaa asentamaan toisen, niin ikään hyökkääjän hallitseman sovelluksen.
Toissijainen sovellus on varsinainen petoskone. Se avaa taustalla piilotettuja WebView-näkymiä, lataa HTML5-mainossivuja ja synnyttää keinotekoisia näyttöjä, klikkauksia ja huutotarjouspyyntöjä. Käyttäjä ei näe yhtään mainosta. Vain hidastuneen puhelimen.
Anti-analyysi on Trapdoorin oma signature. Sovellukset jäljittelevät laillisten mainos-SDK:eiden liikennettä, käyttävät asennusattribuutiota ja aktivoivat petoslogiikan vain niillä käyttäjillä, jotka ovat tulleet hyökkääjän omista mainoskampanjoista. Orgaanisesti löytäneet käyttäjät näkevät puhtaan sovelluksen. Juuri tämä on pitänyt toiminnan piilossa Googlen turvatarkastuksilta vuosia.
Petoksesta saatu raha kierrätetään takaisin uusiin mainoskampanjoihin, jotka houkuttelevat lisää uhreja samoihin sovelluksiin. Itseään ruokkiva silmukka. Datavarkautta, pankkitroijoita tai pysyvyysmekanismeja ei raportoitu. Kyseessä on puhdas mainos- ja jakelupetos.
Suomi-kulma
Onko suomalaisten siis syytä huolestua? Satorin liikenneanalyysi kertoo, että yli kolme neljäsosaa petosliikenteestä tuli Yhdysvalloista. Muut isot lähteet ovat Japani, Australia, Venäjä, Uusi-Seelanti ja Intia. Suomi ja muut Euroopan maat eivät esiinny julkaistuissa luvuissa.
Suomalaiset laitteet eivät silti ole säästyneet. Jakelu tapahtui Play Storesta, joka on globaali, ja 24 miljoonan asennuksen massasta osa on hyvin todennäköisesti päätynyt myös suomalaisille puhelimille. Kyberturvallisuuskeskus ei ole tätä artikkelia kirjoitettaessa julkaissut Trapdoor-kohtaista varoitusta. Viraston tuore Android-fokus on edelleen BadBox 2.0 – halpojen Android-laitteiden valmiiksi esiasennettu haittaohjelma, joka on aivan eri ongelma.
Tunnistusmerkit
- Asensit hiljattain puhdistin- tai boosteri-tyyppisen apurin, PDF-katselimen tai tiedostohallinnan tuntemattomalta kehittäjältä.
- Toinen sovellus pyysi sinua asentamaan päivityksen Play Storen ulkopuolelta tai pop-up-ikkunalla.
- Akku tyhjenee odottamattoman nopeasti.
- Mobiilidata kuluu paljon, vaikka et ole avannut sovelluksia.
- Laite kuumenee tai hidastuu toimettomana.
- Näet järjestelmäpäivitystä jäljitteleviä popupeja.
Mitä tehdä
Avaa Play Store, valitse oikean yläkulman profiili, mene Play Protectiin ja aja skannaus. Poista kaikki merkityt sovellukset.
Käy asennettujen sovellusten lista läpi käsin. Poista PDF-katselimet, puhdistinapurit ja tiedostohallintaohjelmat, joita et tunnista. Varsinkin sellaiset, jotka muistat asentaneesi popup-kehotteen perusteella.
Pidä Google Play Protect aina päällä. Älä asenna toisen sovelluksen tarjoamaa päivitystä, sillä Play Store päivittää sovellukset itse.
Jos oireet jatkuvat poistojen jälkeen, käynnistä puhelin turvatilaan ja poista sovellukset uudelleen. Viimeisenä keinona jää tehdasreset. Trapdoor itsessään on neutralisoitu, mutta sama kaava palaa Play Storeen seuraavalla nimellä ennemmin tai myöhemmin. Tunnistusrutiini kannattaa siis pitää lihasmuistissa nyt, kun esimerkit ovat tuoreita.