Aplicación falsa a la izquierda, real a la derechaEn el catálogo de Google Play, es bastante posible registrar una aplicación maliciosa y distribuirla a una gran audiencia de usuarios de teléfonos inteligentes Android. Esto se sabía antes, y ahora otra confirmación: más de un millón de usuarios han descargado la aplicación falsa de WhatsApp desde el directorio "protegido" y "seguro".
Hubiera descargado más, pero el 3 de noviembre de 2017, los usuarios falsos de Reddit
descubrieron el falso. Por supuesto, después de eso, la aplicación fue eliminada del directorio.
Una aplicación llamada Update WhatsApp Messenger en sí misma solicitó permisos mínimos (solo acceso a Internet), pero de hecho es un contenedor publicitario para esta aplicación, es decir, es un malware de tipo contenedor de anuncios.
La
captura de pantalla muestra que el programa se registra al inicio.
La siguiente captura de pantalla a continuación muestra el código del programa, que, aparentemente, es responsable de descargar el verdadero cliente de WhatsApp para Android. También se llama
whatsapp.apk .
Los desarrolladores utilizaron un truco complicado para hacerse pasar por la compañía original WhatsApp Inc. Como puede ver en la siguiente captura de pantalla, al final del nombre de la compañía WhatsApp Inc. se agregan dos bytes: 0xC2 0xA0, que forman un espacio invisible. Por lo tanto, parece que el desarrollador es real.
Después de instalar en un teléfono inteligente, el programa intenta ocultar los rastros de su existencia, no tiene un nombre registrado en el sistema y un ícono vacío transparente. En la lista de aplicaciones, se ve así:
El malware no hace nada particularmente dañino en el teléfono, excepto la visualización de anuncios molestos. Aquí hay algunas capturas de pantalla del programa en ejecución y la pantalla de selección del servidor de actualización:
1 ,
2 ,
3 ,
4 . A juzgar por la interfaz, los desarrolladores no utilizaron los servicios de un diseñador, y ellos mismos no tenían el gusto más perfecto en términos de elegir colores para el diseño.
No todos los usuarios entenderán de inmediato de dónde proviene el anuncio en la pantalla del teléfono inteligente y qué programa debe eliminarse. La aplicación tiene todos los derechos en el sistema, si el usuario la ha instalado personalmente. Además, este contenedor de anuncios descargó e instaló la aplicación real de WhatsApp, por lo que no es obvio de inmediato que él mismo siguiera trabajando en el sistema.
Se puede suponer que los estafadores ganaron una cantidad considerable al conectar dicho troyano a los teléfonos de más de un millón de usuarios. Si lograron ganar al menos unos pocos dólares de cada dispositivo mostrando pancartas, saldrán varios millones de dólares.
Distribuir el programa a un millón o más de teléfonos inteligentes Android es muy difícil de una manera diferente, excepto a través del catálogo oficial de Google Play. Los usuarios creen ingenuamente que están protegidos del malware aquí. El propio Google en la descripción del antivirus Play Protect
dice que “la seguridad de todas las aplicaciones de Android se verifica cuidadosamente antes de que aparezcan en Google Play Store. Probamos a todos los desarrolladores en Google Play y bloqueamos a aquellos que violan nuestras reglas. Entonces, incluso antes de descargar la aplicación, sabes que ha sido verificada y aprobada ”. Play Protect Anti-Virus escanea 50 mil millones de aplicaciones diarias para garantizar que no aparezca nada sospechoso en las nuevas versiones de programas después de la actualización.
Como puede ver, esta protección no funciona muy bien con sus tareas. Al menos este contenedor de anuncios logró evitar ser detectado por el escáner Play Protect.
En septiembre de 2017, los expertos de Google hablaron sobre
el sistema de inteligencia artificial que se usa en el antivirus Play Protect. Para entrenar una red neuronal, la telemetría también se usa desde los dispositivos del usuario: estadísticas sobre el número de instalaciones y desinstalaciones de programas, comportamiento del programa, etc. Pero la compañía incluso entonces reconoció que la IA aún no había completado el proceso de capacitación, aunque el progreso era evidente. Si en la primavera de 2017, pudo determinar correctamente solo el 5% del malware a partir de la muestra de prueba, en septiembre la cifra aumentó al 55%. Los desarrolladores dijeron que debido a la actividad antivirus de Google, la proporción de usuarios de Android cuyos teléfonos inteligentes instalaron algún tipo de malware ha disminuido durante el año. A principios de año, había 0.6%, y en septiembre - 0.25%. Por lo tanto, la seguridad antivirus en los dispositivos Android es mucho mejor que en las PC de escritorio, dicen los expertos de Google.