Google zbuduje nowe zabezpieczenia w Android Market, ich sklepie z aplikacjami na telefon z systemem Android OS, po atakach, które zainfekowały tysiące telefonów i zmusiły korporację do zdalnego usunięcia złośliwego oprogramowania z komórek.
Ponad 50 aplikacji w Android Market zawierało program o nazwie DroidDream, który jest
w stanie wykraść informacje o urządzeniu i, co groźniejsze, pobrać inne złośliwe aplikacje na telefon.
Google milczał o problemie aż do soboty, kiedy przyznał na blogu, że zdecydował się użyć komendy do zdalnego oczyszczenia urządzeń ze złośliwych aplikacji.
Użytkownicy Androida, którzy pobrali złośliwe aplikacje, otrzymają e-mail z adresu Google w przeciągu trzech dni, który tłumaczy zaistniałą sytuację, o czym powiadomił Rich Cannings z Android’s Security. Dodatkowo Google zmusza wręcz użytkowników Androidów do pobrania aktualizacji “Android Market Security Tool March 2011”, która naprawia szkody, wyrządzone przez DroidDream.
Niektórzy z użytkowników mogą też otrzymać informację na swoje telefony i e-maile, że złośliwa aplikacja została usunięta.
Najbardziej wrażliwe na działanie złośliwego oprogramowania są urządzenia posiadające Androida w wersji poniżej 2.2.2.
Jak działa DroidDream?
DroidDream używa dwóch sposobów, aby zainstalować się na telefonie, o nazwach: „exploid” i “rageagainstthecage”, jak podaje Lookout Mobile Security, która analizowała złośliwą aplikację. Firma dostała ostrzeżenie o spodziewanej sytuacji w poprzedni tygodniu przez użytkownika Reddit o imieniu Lompolo.
Lookout umieściło głęboką analizę DroidDream na swoim blogu w niedzielę, ujawniając więcej alarmujących detali o aplikacji, jak np. ten, że DroidDream jest zakodowany, aby działać od 23:00 do 8:00 rano, czyli wtedy, kiedy właściciel zainfekowanego telefonu zazwyczaj śpi i nie jest w stanie stwierdzić żadnych nietypowych zachowań swojego urządzenia.
DroidDream uzyskuje dostęp do konta administratora do systemu operacyjnego Adroid Linux, po to, jak napisało Google, żeby pozyskać numer identyfikacyjny telefonu (IMEI)
i numer karty SIM (IMSI).
Po tej informacji, DroidDream pobrał aplikację systemową o nazwie “DownloadProviderManager.apk”, która chroniła złośliwe oprogramowanie przed ujawnieniem.
Ta druga aplikacja miała za zadanie zbierać dodatkowe informacje, jak m.in.: dane identyfikacyjne produktu, model telefonu, używany język, kraj i ID użytkownika. Ściągała także inne aplikacje.
„Pierwszą fazą ataku było uzyskanie dostępu do konta administratora w urządzeniu, podczas gdy druga faza służyła przede wszystkim do utrzymania połączenia z serwerem command-and-control i zainstalowania innych plików” – napisał Lookout. „Z tego powodu, że nie widzieliśmy wydanych przez serwer poleceń ściągnięcia dodatkowych aplikacji,
nie mogliśmy określić dokładnego celu aplikacji”.
„DroidDream może być uważany za silnego agenta – zombie, który może zainstalować jakąkolwiek aplikację po cichu i do woli wprowadzać kod z uprawnieniami do konta administratora ”.
Google zdjęło zainfekowane aplikacje, zmodyfikowane przez DroidDream, z Android Marketu. Nałożyło także zakaz ich publikacji i skontaktowało się z organami prawa.
Incydent z DroidDream była to pierwsza na taką skalę inwazja złośliwego oprogramowania na oficjalny Andorid Market Google’a, wcześniej zdarzały się przypadki manipulowania aplikacjami.
Google sprawdza Android Market. Niemniej jednak „bezpieczeństwo jest naszym głównym celem dla zespołu Androida, i jesteśmy zobowiązani do zbudowania nowych zabezpieczeń, aby przeciwdziałać takiego rodzaju atakom w przyszłości”, napisał Canings.
Źródło: www.macworld.com
