В официальный магазин приложений Samsung, который называется Galaxy Store, проникли вредоносные приложения, и пользователи жалуются на множественные срабатывания Play Protect на своих устройствах.
Журналисты Android Police сообщают, что малварь имитирует некогда популярное пиратское приложение ShowBox, которое закрылось еще в 2018 году, после того как коалиция киностудий сумела идентифицировать его оператора и подала на него в суд. ShowBox и его «брат-близнец» MovieBox давали пользователям доступ к фильмам и сериалам, защищенным авторскими правами, без оплаты подписки.
Очевидно, мошенники сделали ставку на былую популярность пиратского приложения, и «клоны» действительно были хорошо приняты сообществом пользователей Samsung. Подделки рекламировались как стриминговые приложения, обещая анонимный доступ к защищенному контенту через интегрированный VPN. Интересно, что, по данным Android Police, по крайней мере некоторые из этих приложений действительно предоставляли обещанные пиратские функции.
I gave Huawei shit for this, gonna do it to Samsung too.
— Max Weinbach (@MaxWinebach) December 27, 2021
Samsung is hosting literal malware on the Galaxy Store. Google's anti-virus protection software, built into Play Services, stops the install.
I've found at least 5 of these apps in a row on the Galaxy Store. pic.twitter.com/LiiDJtGwmb
По словам специалиста по мобильной безопасности linuxct, который заметил проблему, приложения-клоны вызывают срабатывание Google Play Protect, так как запрашивают доступ к опасным разрешениям, которые могут привести к установке малвари на устройство. Так, если пользователь выдает приложению все нужные разрешения, оно получает доступ к спискам контактов, журналам вызовов, права на выполнение кода, загрузку вредоносных программ, клики по объявлениям и так далее.
Проанализировав приложения из Samsung Galaxy Store, linuxct обнаружил рекламную технологию, которая может использовать для удаленного выполнения кода, и ею можно злоупотреблять для выполнения команд на устройстве. К сожалению, проверка через VirusTotal выявила, что далеко не все антивирусные решения обнаруживают эту малварь, помечая ее как потенциально опасные программы, трояны, adware и так далее.
Издание объясняет, что с юридической точки зрения Samsung должен был отклонить эти приложения еще на этапе рассмотрения из-за описания их функциональности, однако Samsung Galaxy Store проверяет приложения только на наличие малвари и вредоносного поведения, а нарушение авторских прав во внимание не принимается. Поскольку приложения не содержали вредоносного кода «из коробки», их не сочли опасными и допустили в магазин.
Специалисты советуют всем, кто установил один из клонов ShowBox через Galaxy Store, немедленно удалить приложение и запустить полное сканирование системы, чтобы удалить любые потенциально опасные артефакты.
