Přes 420 milionů si stáhlo virus, který jim kradl platební údaje i mnoho dalšího. Některé aplikace slibovaly peníze za „klikání“

Někdy si uživatelé naběhli sami, jindy byli obelháni, když si stahovali aplikaci, která jim měla skutečně pomoci. To ovšem netušili, jakému riziku se vystaví.

Mobilní virus

Více než 400 milionů uživatelů po celém světě naletělo hackerům, upozorňuje Dr.Web, a scénář se opakuje už dlouhé roky. Někdo si stáhne aplikaci, která nabízí finanční odměnu za klikání na reklamy, hraní miniher apod., kdy už je samo o sobě patrné, že na tom něco nehraje, a v mnoha případech vývojáři přibalí tuto funkci nevědomky v podobě viru i do „appek“, které mají sloužit třeba k editaci videa nebo organizaci souborů, aby přitáhli pozornost uživatelů.

Aplikace kradly snad všechno hodnotné

Výše zmíněný zdroj popsal virus jako spywarový modul nazvaný SpinOk, který byl zakomponován jak do aplikací slibujících výdělek za klikání na reklamy (tzv. klikačky) a hraní různých her, tak i do řady dalších, v nichž bylo možné upravovat fotky, videa, soubory… Do těch se však často dostaly nevědomky, vývojáři totiž chtěli zobrazovat minihry a reklamy jenom jako způsob, jak se lidem častěji připomínat s tím, že mohou za klikání otevřít nějaké prémiové funkce.

K jejich nasazení přitom využívali reklamní sadu třetí strany, která i reálně fungovala, tedy umožňovala zobrazovat, co slibovala. Jenomže její hlavní činností dle BleepingComputer bylo spustit virus, takže jakmile si někdo aplikaci stáhl, otevřel tím zároveň dveře viru, který dále pracoval bez jeho vědomí na pozadí. Jednalo se totiž o trojského koně s cílem krást data, přičemž se ukrýval mimo tzv. sandboxové prostředí, v němž výzkumníci testují, zda aplikace neobsahují virus, a to tak, že kontroloval data z různých senzorů.

Následně se virus připojil ke vzdálenému serveru a stáhl seznam otevřených URL adres, s jejichž pomocí zobrazoval minihry a reklamy. Pro uživatele tedy bylo vše dle očekávání, ale na pozadí běžely škodlivé aktivity – konkrétně se jednalo o lustrování souborů, a to včetně fotek, videí, adresáře (kontaktů), hesel, a co víc, dokonce kradl i čísla platebních karet a kryptoměny, které si poté převáděl do vlastních kryptopeněženek, takže ji už nikdo nedohledal.

Více než 421 milionů stažení

Jak moc si lidé touží touto cestou vydělat, dokazuje samotný počet stažení různých aplikací, ale mnohem více bylo případů zobrazování reklam třeba v editoru fotografií. S tím uživatel počítal, takže v pořádku; horší nicméně byla krádež platebních údajů i jiných informací a souborů. Infikovaných tak bylo celkem 101 aplikací, a ty nejstahovanější z nich uvedl zmíněný Dr.Web:

Noizz: video editor s hudbou (100 000 000 stažení)

Zapya – File Transfer, Share (100 000 000 stažení; Dr. Web říká, že trojský kůň byl přítomen ve verzi 6.3.3 až 6.4 a již není přítomen v aktuální verzi 6.4.1)

VFly: editor videa a tvůrce videa (50 000 000 stažení)

MVBit – MV video status maker (50,000,000 stažení)

Biugo – video maker & video editor (50,000,000 stažení)

Crazy Drop (10 000 000 stažení)

Cashzine – Vydělejte peníze odměna (10 000 000 stažení)

Fizzo Novel – Čtení off-line (10 000 000 stažení)

CashEM: Získejte odměny (5 000 000 stažení)

Klíště: sledujte a vydělávejte (5 000 000 stažení)

Celkem zaznamenaly výzkumníci přes 421 000 milionů stažení infikovaných aplikací, a s výjimkou jedné byly již z Google Play odstraněny. Není však vyloučeno (spíše je to velice pravděpodobné), že se opět nevrátí, ale pouze pod jiným názvem.