Aplikacija Google Play-a umjesto prikazivanja vijesti, koristi Android uređaje za DDoS napade

Aplikacija Google Play-a umjesto prikazivanja vijesti, koristi Android uređaje za DDoS napade

Android Google Play DDoS JavaScript

Stručnjaci tvrtke ESET-a otkrili su zlonamjernu Android aplikaciju koja se koristi za pokretanje DDoS napada. Zahvaljujući činjenici da je upravo ESET-ova globalna web stranica bila pod napadom, njihovi stručnjaci su mogli identificirati aplikaciju, napraviti analizirati i prijaviti ju Googleu, koji je aplikaciju ubrzo uklonio s Google Play-a. Napad na web stranicu, www.eset.com, dogodio se u siječnju 2020. Trajao je sedam sati i izveden je na više od 4000 jedinstvenih IP adresa koje su blokirane tijekom napada. Analiza je pokazala da je napad izvršen korištenjem tisuća primjeraka aplikacije „Updates for Android“ koja je u to vrijeme bila dostupna u službenoj trgovini Android aplikacija Google Play. Jedina zlonamjerna funkcionalnost aplikacije oslanjala se na sposobnost učitavanja JavaScript datoteka s poslužitelja koji kontrolira napadač i pokrenja na korisničkom uređaju. Navedeno objašnjava kako je aplikacija dospjela na Google Play. Aplikacija „Updates for Android“ prvi put je dodana u Google Play 9. rujna 2019. Aplikacija je imala dobre recenzije korisnika i ukupnu ocjenu 4,3. Prvobitnoj verziji aplikacije nedostajala je funkcionalnost učitavanja JavaScripta koja je, na kraju, zloupotrebljena za izvođenje DDoS napada. Ona se dodala najnovijem ažuriranju aplikacije dva tjedna prije napada na ESET-ovu web stranicu. Aplikacija je dostigla više od 50 000 instalacija. Istraživači nisu uspjeli utvrditi koliko se primjeraka aplikacije instaliralo nakon ažuriranja. Analiza je pokazala da aplikacija svakih 150 minuta kontaktira poslužitelj koji je pod kontrolom napadača, kako bi dobila sljedeće naredbe. ID svakog uređaja na kojemu je instalirana aplikacija šalje se na poslužitelj napadača. Na osnovu naredbi koje dobije s poslužitelja, aplikacija može prikazivati reklame u zadanom pregledniku, prikriti ikonu aplikacije te učitati JavaScript s poslužitelja, što je posljednje korišteno za izvođenje DDoS napada na ESET-ovu web stranicu. Kako bi privukla nove korisnike i izgledala legitimno, aplikacija ima odgovarajuću web stranicu, i-updater.com, koja je reklamira kao „dnevna ažuriranja vijesti“. Web stranica je, prema riječima istraživača, još uvijek aktivna. Aplikacija „Updates for Android“ i dalje je dostupna u neslužbenim trgovinama aplikacija te i dalje prikazuje dnevne vijesti.

Prethodna objava Slijedeća objava