Všechny infikované aplikace využívají škodlivé SDK (Software Development Kit). I když existují i jiné SDK sady, které lze využít pro finanční zisk z mobilních aplikací, herní vývojáři se rozhodli použít SDK, které bude masivně zobrazovat reklamu, a tím zvýší zisky.
Mezi škodlivé aktivity aplikací patří například:
- Zobrazování reklam nejen v aplikaci, tedy například když uživatel odemkne telefon nebo používá jiné aplikace
- Neustálé otevírání Google Play nebo 9Apps Store a přesměrování na jiné aplikace, takže vývojáři mohou těžit z dalších instalací
- Ukrytí ikony aplikací, aby je nebylo možné jednoduše odinstalovat
- Otevírání webového prohlížeče s odkazy od vývojářů aplikací
- Stahování APK souborů a žádání uživatele o instalaci
- Hledání slov poskytnutých aplikací v obchodu Google Play
„Není to poprvé, kdy byl nějaký prvek třetí strany použit k infikování dodavatelského řetězce. Podobné útoky jsou pro kyberzločince velmi atraktivní a často snadnější než přímý útok na samotnou organizaci,“ říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point.
A Chinese company has been silently uploading millions of people contact lists from Android phones. Is it targeting China alone? Not sure. But if you are on a Chinese friend's contact list, your name is likely to be on the list #OperationSheep https://t.co/yPxqK58UYa
— Check Point Research (@_CPResearch_) 14. března 2019
Výzkumný tým Check Point Research objevil také skupinu aplikací pro Android, které mají v SDK skrytý malware pojmenovaný SWAnalytics. Tyto zdánlivě nevinné aplikace pro Android jsou ke stažení v hlavních čínských obchodech s aplikacemi. Po instalaci aplikace SWAnalytics sleduje, kdy oběť otevírá infikovanou aplikaci nebo restartuje telefon a nenápadně krade a odesílá celý seznam kontaktů na vzdálený server.
#SimBadAdware a new adware campaign on Google Play.
— Check Point Research (@_CPResearch_) 13. března 2019
Download count of 150M, and an infrastructure to become a much larger threat.https://t.co/BSzHeCJE6p
Doposud bylo objeveno 12 infikovaných aplikací, většinou zaměřených na systémové nástroje, celkově už mají tyto aplikace vice než 111 milionů stažení. Teoreticky to znamená, že útočník mohl získat jména a kontaktní čísla třetiny celé čínské populace. „Taková data by samozřejmě mohla být obchodována na černých trzích a dále zneužívána,“ dodává Petr Kadrmas.
Zajímavostí je, že v červenci 2018 vydaly americké zpravodajské agentury zprávu, ve které upozorňují na možnou čínskou hrozbu a útoky na softwarové dodavatelské řetězce, což by mohlo narušit dlouhodobou konkurenční americkou ekonomickou výhodu. Kompletní analýzu, přehled infikovaných aplikací a technické podrobnosti o kampani SimBad najdete zde, zatímco vše o škodlivých čínských aplikacích na tomto odkazu.
Nejstahovanější infikované aplikace:
- Snow Heavy Excavator Simulator – více než 10 milionů instalací
- Hoverboard Racing – více než 5 milionů instalací
- Real Tractor Farming Simulator – více než 5 milionů instalací
- Ambulance Rescue Driving – více než 5 milionů instalací
- Heavy Mountain Bus Simulator 2018 – více než 5 milionů instalací
- Fire Truck Emergency Driver – více než 5 milionů instalací
- Farming Tractor Real Harvest Simulator – více než 5 milionů instalací
- Car Parking Challenge – více než 5 milionů instalací
Pokud jste byli infikováni podobnými aplikacemi, jako v případě kampaně SimBad, postupujte podle následujícího návodu:
Pro Android:
- Přejděte do „Nastavení“
- Klikněte na „Aplikace“ nebo „Správce aplikací“
- Vyhledejte podezřelou aplikaci a odinstalujte ji
- Pokud aplikaci namůžete najít, odinstalujte všechny nedávno instalované aplikace
Pro iPhone:
- Přejděte do „Nastavení“
- Najeďte na „Safari“
- V seznamu možnosti si ověřte, že je zvolené „Blokovat pop-upy“
- Potom přejděte do nabídky „Pokročilé“ -> „Data stránek“
- Pokud je uvedena nějaká neznámá stránka, tak ji smažte
