Cikkünk írásának idején még mindig megtalálható a Google Play áruházban négy olyan alkalmazás, amely mást is tesz, mint amit állítanak róluk. Valamennyi app a Mobile Apps Group fejlesztői fiókhoz tartozik. Az alkalmazások: Bluetooth Auto Connect (kb. 1 millió letöltés), Bluetooth App Sender (kb. 50 ezer letöltés), Driver: Bluetooth, Wi-Fi, USB (kb. 10 ezer letöltés) és Mobile transfer: smart switch (kb. ezer letöltés). Valamennyi alkalmazásról úgy nyilatkozott a fejlesztő, hogy azok nem gyűjtenek és nem osztanak meg felhasználói adatokat.

Látszólag rendben is van velük minden (leszámítva, hogy a Bluetooth Auto Connectről igencsak negatív a felhasználók véleménye), azonban a Malwarebytes észrevette, hogy az appok az Android/Trojan.HiddenAds.BTGTHB vírussal fertőzöttek. Az alkalmazások régebbi verzióit a múltban az Android/Trojan.HiddenAds különböző változataiként észlelték, ennek ellenére a fejlesztő továbbra is a Google Playen forgalmazza legújabb HiddenAds malware-jét.

Google Play Store

A Malwarebytes a legtöbb letöltést felmutató Bluetooth Connect alkalmazás nyomába eredt, s amit találtak, megdöbbentő. Az app telepítése után néhány napnak el kell telnie, mire elkezd rosszindulatú viselkedést mutatni. Ez a késleltetés gyakori taktika a rosszindulatú programok észlelésének elkerülésére. Kiderült, hogy ez az alkalmazás meglehetősen sok késést használ.

Ennek a beállításnak minden telefonon aktívnak kellene lennie

Minden androidos telefonon gyárilag elérhető, viszont alapból ki van kapcsolva. Manuálisan kell aktiválni a a zárolási lehetőséget, amely békeidőben nem zavar, vész esetén viszont nagyon sokat segít.

A kezdeti késés után a rosszindulatú alkalmazás adathalász webhelyeket nyit meg a Chrome-ban. Az adathalász webhelyek tartalma változó, némelyik viszonylag ártalmatlan webhely, amelyet egyszerűen kattintásonkénti fizetés létrehozására használnak, mások pedig veszélyesebb adathalász webhelyek, amelyek megpróbálják becsapni a gyanútlan felhasználókat. Például egy webhely felnőtteknek szóló tartalommal rendelkezik, amely adathalász oldalakra vezet. Ezek arról tájékoztatják a felhasználót, hogy megfertőződött vagy frissítést kell végrehajtania.

A Chrome lapjai akkor is megnyílnak a háttérben, ha a mobileszköz le van zárva. Amikor a felhasználó feloldja eszköze zárolását, a Chrome a legújabb fület nyitja meg. Gyakran megnyílik egy újabb lap egy új oldallal, és ennek eredményeként a telefon több óra elteltével történő feloldása több lap bezárását jelenti. A felhasználók böngészési előzményei adathalász webhelyek hosszú listája is lesz.

A Malwarebytes jelentése szerint ugyanazt a fejlesztőt kétszer is kitették a múltban, mert reklámokat terjesztett a Google Playen, de engedélyezték számára, hogy a tisztított verziók beküldése után továbbra is közzé tegye az alkalmazásokat.

Az ilyesfajta rosszindulatú programok távoltartásához maradnak újra a szokott tanácsok: kerüljük a nem hivatalos Android-áruházakból származó alkalmazások telepítését, és még ha csak a Google Play áruházat is használjuk, mindig olvassuk el a felhasználói véleményeket. Az akkumulátorhasználat figyelése és a hálózati adattevékenység szintén segít meghatározni, hogy az eszközön fut-e gyanús szoftver. A Google Play Protect funkciójának aktívan tartása is jó módszer az eszköz biztonságosabbá tételére (bár a Malwarebytes szerint az elemzett alkalmazás kikerüli ezt a védelmet).

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.