Комплект разработки рекламного программного обеспечения (SDK), встроенный во многие законные приложения, тайно перекачивает пользовательские данные и отправляет их на серверы китайской компании.
Рекламный SDK, разработанный китайской фирмой Igexin , был обнаружен в более чем 500 приложениях, которые были загружены в официальный магазин Google Play и были загружены более 100 миллионов раз в экосистеме Android.
Расследование началось после обнаружения подозрительных запросов API
Исследователи говорят, что они пошли по следу Igexin SDK после того, как заметили, что образцы известных вредоносных программ загружаются на чистые смартфоны после того, как устройство сделало запрос к серверу Igexin API.
После нескольких месяцев расследования исследователи из компании Lookout, занимающейся мобильной безопасностью, обнаружили, что разработчики Igexin использовали законные функции SDK для отправки вредоносных команд в легитимные приложения.
Lookout утверждает, что на основе разрешений, полученных от пользователей во время установки, SDK собирал все виды данных с устройств пользователей, но в основном журналы вызовов.
Кроме того, SDK также принудительно загружал и запускал код, содержащийся в больших зашифрованных файлах. Этот код способствовал злонамеренному поведению.
Приложения, использующие Igexin SDK, удалены из Play Store
Исследователи обратились к Google и разработчикам законных приложений, где обнаружили, что Igexin SDK используется для упрощения доставки рекламы.
Google отключил вредоносные версии приложений до тех пор, пока разработчики приложений не выпустят обновления.
Эксперты Lookout не упомянули названия приложений, в которые входит Igexin SDK, так как не сочли это их ошибкой. Тем не менее, они предоставили общий список приложений, в которых они нашли Igexin SDK.
- Игры для подростков (одно с 50–100 млн загрузок)
- Приложения для погоды (одно с 1–5 млн загрузок)
- Интернет-радио (от 500 до 1 млн загрузок)
- Фоторедакторы (от 1 до 5 млн загрузок)
- Образование, здоровье и фитнес, путешествия, смайлики, домашнее видео приложения для камеры
Нечто подобное произошло
В прошлом году исследователи из Kryptowire обнаружили, что Adups, китайский разработчик прошивки, включил вредоносный код в прошивку, которую они поставляли производителям телефонов Android.
Вредоносный код собирал большое количество сведений о пользователях и отправлял их обратно на серверы в Китае. Пострадали несколько брендов недорогих устройств Android, в основном BLU и даже планшеты Barnes & Noble NOOK .
Ранее в этом месяце Adups заявила, что прекратила сбор данных, но эксперты не согласились.