Android je jedan od najraširenijih (ako ne i najrašireniji) operativnih sustava na svijetu danas uopće. Neki smatraju da je Android po broju uređaja koji ga imaju u sebi i prema broju korisnika, čak rašireniji i od Windowsa. Iako je ovo sve lijepo i impresivno, pogotovo za Google, uspjeh ne dolazi bez cijene. U ovom slučaju cijena se odnosi na kojekakve štetne programe koji mogu putem neke aplikacije dobiti pristup korisnikovom Android uređaju i nakon toga napraviti nered.
Malware prijetnje prije nekoliko godina nisu bile problem. No to se počelo mijenjati. S obzirom da je Android sve prisutniji operativni sustav na sve većem broju pametnih uređaja, malware prijetnje su postale nešto što treba shvatiti ozbiljno. Ovo ljeto je započelo između ostaloga i otkrivanjem novog problema za Android uređaje koji uključuje štetne datoteke reklama koje dolaze pred-instalirane na više od 75 zaraženih aplikacija (koliko je zasad otkriveno).
Je li i vaš uređaj jedan od onih koji su u potencijalnoj opasnosti i što je ono što svatko od nas može učiniti da se zaštiti saznati ćemo u nastavku.
Upoznajte Xaviera
Velika većina developera Android aplikacija sve svoje aplikacije rade na način da one budu dostupne kao besplatne aplikacije. U stvari, oko 90% aplikacija koje se danas nalaze u Google Trgovini su besplatne, s time da se kod većine tih aplikacija koriste različite reklame. Reklame stvaraju profit developerima reklama, što je poznato svima.
Te reklame rade na način da, nakon instalacija aplikacija koje im imaju u sebi, one stavljaju svoje datoteke u Android knjižnicu uređaja. Putem posebnog koda svaka od tih aplikacija nakon pokretanja iste, ako je uređaj spojen na internet, u isto vrijeme pokreće i reklamu. Zbog toga ćemo u velikoj većini slučajeva, nakon što skinemo neku besplatnu aplikaciju sa Google Trgovine, vidjeti neke reklame (velika većina aplikacija koje imaju i mogućnost plaćanja u sebi uključuju ”ad-free” mogućnost u slučaju da korisnik odluči platiti dio ili pak cijelu aplikaciju).
Developeri aplikacija daju povjerenje onima koji stvaraju reklame i kodove za pokretanje tih reklama. Vjeruju da je većina tih reklama bezopasna i da u njima nema ništa loše (osim činjenice da su ponekad naporne). Iako je to u velikoj većini slučajeva točno, postoje i slučajevi kada to nije tako.
Jedan od takvih primjera je i Xavier. Radi se o štetnoj datoteki reklama. Član AdDown obitelji malwarea – istih onih koji se koriste za ”štetno reklamiranje” (ili ”malvertising”) je na scenu stupio još prošle godine i to u rujnu. Stručnjaci iz Trend Micro-a su otkrili Xavier o određenom broju aplikacija.
Te aplikacije su bile za različitu namjenu: od aplikacija za pokretanje različitih medija do optimizatora radne memorije uređaja. To u biti znači da nije važno kakve aplikacije koristite. Bez obzira na to koju aplikaciju koristite, postoji izgledna šansa da je možda i vaš uređaj zaražen ovim malwareom.
Iako se zasad barem čini da se Xavier nije proširio cijelim svijetom, nego da je samo zapažen u uređajima korisnika koji se nalaze u jugoistočnom dijelu Azije, stvar je u tome da se zbog dostupnosti aplikacija preko Google Trgovine ova zaraza može munjevitom brzinom proširiti bilo gdje na svijetu.
Na koji način Xavier djeluje na vaš Android uređaj
Datoteka s reklamama Xavier ima nekoliko mogućnosti kako može utjecati na bilo koji uređaj koji u sebi ima Android OS (bilo da se radi o pametnom telefonu, tabletu ili čak TV-u i Android igraćoj konzoli). Koji su to načini navesti ćemo u nastavku.
- Xavier može instalirati .apk datoteke na vaš uređaj bez ikakvog upozorenja da će se takvo što dogoditi (na ovo su najviše osjetljivi uređaji koji u sebi imaju starije verzije Androida).
- Pokretanje koda sa daljine, sa nekog udaljenog izvora, što u biti znači da putem Xaviera hakeri na vrlo jednostavan način mogu ostvariti pristup vašem uređaju.
- Zloupotreba podataka. Xavier može učiniti to da onaj tko ga je instalirao u aplikaciju preko njega može dobiti sve vaše osobne podatke, kao što su brojevi mobitela, lozinke, podaci u vezi SIM kartice i slično.
- Xavier je malware kojeg je barem zasad, dosta teško za opaziti i detektirati. Normalan antivirusni program će ga teško, ako i uopće opaziti i to najviše iz razloga što je Xavier osmišljen na način da šifrira svoje podatke i da se ne pokrene za vrijeme skeniranja uređaja (na taj način antivirus ”misli” da je sve u redu i da ničega nema).
Sve u svemu, radi se o gadnom malwareu kojeg nikako ne biste željeli imati na svom uređaju. Iako i osim Xaviera postoji određen broj drugih malwarea, ovaj je specifičan i to baš zbog svojih datoteka s reklamama.
Izbjegavajte ovih 75 aplikacija pod svaku cijenu
U nastavku ćemo navesti svih aplikacija za koje se zasad zna da u sebi imaju Xavier malware. Podaci su dostupni na službenoj Trend Micro internetskoj stranici.
Indicators of Compromise (IoCs):
- Package Name Download Count Remove Xavier Date
- com.ijksoftware.pdfcreator.camscanner 10000-50000 5/13/2017
- com.writeonpicture.textphoto 100000-500000 5/13/2017
- com.inateam.cooler.master 500000-1000000 5/13/2017
- com.equalizer.volumebooster 1000000-5000000 5/13/2017
- com.styletext.font.textonphotos 100000-500000 5/14/2017
- com.easytool.screenoff 100000-500000 5/13/2017
- com.inateam.pdfreader 100000-500000 5/13/2017
- com.placideagles.volumebooster 500000-1000000 5/13/2017
- com.allinOne.openquickly 1000000-5000000 5/13/2017
- com.inateam.ziprar 100000-500000 5/13/2017
- com.coramobile.speedbooster.cleaner 1000000-5000000 5/13/2017
- com.coramobile.security.antivirus 1000000-5000000 5/12/2017
- com.cleaner.memorybooster.ramoptimizer 1000000-5000000 5/13/2017
- com.coramobile.powerbattery.batterysaver 100000-500000 5/12/2017
- com.pdfviewer.pdfreader.edit 500000-1000000 5/13/2017
- com.cutterringtone.mp3cutter 100000-500000 5/14/2017
- com.coramobile.phonecooler.cpucoolermaster 1000000-5000000 5/12/2017
- com.autolockscreen.taptaplock 50000-100000 5/13/2017
- com.easycapture.screenshot 50000-100000 5/14/2017
- com.unziptool.rarextractor 50000-100000 11/18/2016
- com.convertmp3.videoconverter 50000-100000 5/13/2017
- com.lollicontact.caller 50000-100000 5/13/2017
- com.fattys.automaticcallrecording 100000-500000 5/13/2017
- com.ponosnocelleh.lolipoptheme 50000-100000 5/13/2017
- com.ponosnocelleh.threedtheme 100000-500000 5/13/2017
- com.mothrrmobile.volume 100000-500000 5/13/2017
- com.greenapp.voicerecorder 10000-50000 5/13/2017
- com.sunny.text2photo 100000-500000 5/13/2017
- com.fingerprint.lockscreen.prank 100000-500000 5/13/2017
- com.keeprr.cutpastephoto 100000-500000 5/13/2017
- com.billowy.equalizer.bassbooster 100000-500000 5/13/2017
- com.fattysgui.beautyfont 100000-500000 5/13/2017
- com.aecenraw.emojionphoto 50000-100000 5/13/2017
- com.appworksui.myfonts 100000-500000 5/13/2017
- com.forecast.weatherlive.weather 10000-50000 5/13/2017
- com.finder.photo.imagessearch 10000-50000 5/13/2017
- com.galaxygame.fighterwar 100000-500000 5/13/2017
- com.djayfree.mp3djmix 100000-500000 5/13/2017
- com.qrscan.qrreader.qrcode 10000-50000 5/13/2017
- com.yamagame.stormfighter 100000-500000 5/13/2017
- com.minfiapps.screenshost_capture 100000-500000 5/13/2017
- com.photogrid.frame.photocollage 10000-50000 5/13/2017
- com.greenapp.slowmotion 100000-500000 5/13/2017
- net.camspecial.clonecamera 500000-1000000 5/13/2017
- com.rartool.superextract 100000-500000 5/13/2017
- com.fattystudioringtone.mp3cutter 50000-100000 5/13/2017
- com.aepictur.textphoto 100000-500000 5/13/2017
- com.live3d.wallpaperlite 100000-500000 5/13/2017
- com.xatedses.changehaircoloreye 100000-500000 5/13/2017
- com.podhengy.haircolor 100000-500000 5/13/2017
- com.mobilescreen.capture 100000-500000 5/13/2017
- com.keeprr.textonphoto 100000-500000 5/13/2017
- com.mobiletool.rootchecker 100000-500000 5/13/2017
- com.galaxy.strikeforce 1000000-5000000 5/13/2017
- com.podhengy.photoapp 50000-100000 5/13/2017
- com.albumpro.videoslide.galleryphoto 50000-100000 5/13/2017
- com.gpsonline.phonetracker 500000-1000000 5/13/2017
- com.maxmitek.livewallpaperaquariumfishfish 50000-100000 5/13/2017
- com.maxmitek.beachwallpaper 50000-100000 5/13/2017
- com.xatedsesmobile.picturesketch 100000-500000 5/13/2017
- com.efflicnetwork.ringtonecutter 50000-100000 5/13/2017
- com.gigmobile.booster 100000-500000 5/13/2017
- com.ponosnocelleh.launchers7 100000-500000 5/13/2017
- com.magicvideo.editor.reversevideo 50000-100000 5/12/2017
- com.azurersweet.djvirtual 500000-1000000 5/12/2017
- com.sevideo.slideshow.videoeditor 1000000-5000000 5/12/2017
- com.fourapps.musicplayer.videoplayer 100000-500000 5/12/2017
- com.slowmotion.videoslow 500000-1000000 5/12/2017
- com.fourvideo.videoshow.videoslide 1000000-5000000 5/12/2017
- com.azurersweet.app2sdandremover 100000-500000 5/12/2017
- com.azurer.vpnproxy.supervpn 500000-1000000 5/12/2017
- com.azurersweet.launcher 50000-100000 5/12/2017
- com.appgpfaq.prankcrackscreen 500000-1000000 5/12/2017
- com.photoshow.videoeditor.slide 100000-500000 5/12/2017
- com.azurersweet.beautymakeup 100000-500000 5/12/2017
Ako se na vašem uređaju nalazi neka od ovih aplikacija odmah ju obrišite. Ono što biste isto tako trebali napraviti jest zauvijek ju obrisati iz Google pohrane vaših aplikacija. Ovo možete učiniti tako da odete na Meni – My apps and games – Library i listajte prema dolje do onih aplikacija koje želite obrisati. Klikom na X ih brišete iz svoje knjižnice aplikacija.
Kako se zaštititi od Xaviera i sličnih prijetnji?
OK, možda se na vašem uređaju ne nalazi niti jedna od aplikacija s popisa i možda ste sigurni (barem zasad). No, pitanje koje si svaki korisnik postavlja glasi – kako se zaštititi? Prvi korak jest da uvijek skidate aplikacije od pouzdanih developera.
Izbjegavajte skidanje aplikacija od nepoznatih developera jer tako ćete najjednostavnije izbjeći mogućnost zaraze. Poznati developeri kao što su Google, Microsoft i slični vrlo vjerojatno nemaju aplikacije koje su zaražene tako da posebnu pozornost obratite na to otkud skidate aplikacije kao i na to kako developer neke aplikacije stoji na Google Play Storeu.
Pazite što skidate i odakle što skidate, redovito provjeravajte svoj Android uređaj, skinite dobar i pouzdan antivirusni program i ostanite sigurni.
Piše: I.H.