Bezpečnostní analytici popsali nový typ malwaru pro Android, který zneužívá napadená zařízení k reklamním podvodům. Na rozdíl od většiny obdobných trojanů je klíčovým prvkem nasazení strojového učení přímo na infikovaném zařízení. To výrazně komplikuje detekci i technickou analýzu. Na existenci nového malwaru jako první upozornili uživatelé ruskojazyčného kyberbezpečnostního fóra.
Skrytý prohlížeč
Technologickou změnou je využití TensorFlow.js, tedy varianty frameworku TensorFlow určené pro běh modelů strojového učení v prostředí JavaScriptu. Malware jej integruje do skrytého WebView prohlížeče, který běží na pozadí bez viditelné interakce s uživatelem. Namísto detekce reklamních prvků ve zdrojovém kódu analyzuje vykreslený obsah stránek vizuálně, podobně jako lidský uživatel.
Model strojového učení tak rozpoznává bannery, nativní reklamy i interaktivní reklamní tlačítka. Díky tomu není závislý na konkrétní struktuře HTML, dokáže reagovat na změny rozložení a rozpozná dynamicky generovaný obsah. Následně produkuje kliknutí, která se z pohledu reklamních systémů blíží legitimnímu provozu.
Aplikace s malwarem se šíří i prostřednictvím kanálů na Telegramů.
Analýza ukazuje dva hlavní provozní režimy malwaru. V tzv. „phantom“ režimu malware autonomně načítá reklamní stránky a generuje interakce. Pokročilejší režim umožňuje vzdálené řízení: útočníci získávají telemetrii o zařízení a v některých případech i vzdálenou obrazovku, díky které mohou chování malwaru upravovat nebo testovat nové scénáře.
Z pohledu uživatele nejde o přímou kompromitaci dat, skrytý běh malwaru si ale žádá režii v podobě využití systémových prostředků: zvýšené zatížení CPU a GPU, vyšší spotřeba baterie i mobilních dat a postupné zpomalování systému. Tyto projevy lze snadno zaměnit za běžné stárnutí zařízení, což malwaru umožňuje dlouhodobé skryté působení. Na úrovni reklamních systémů představuje problém především deformace reklamních metrik.
Šíření pomocí Xiaomi GetApps
Infikované aplikace se objevují mimo oficiální distribuci jako je Play Store či Galaxy Store. Většinou jsou přibalené do instalačních souborů her či oblíbených aplikací v APK katalozích jako je Apkmody nebo Moddroid a především na platformě GetApps, kterou provozuje Xiaomi.
Často jde o aplikace, které se tváří legitimně, ale po instalaci vyžadují rozsáhlá oprávnění a po jejich odsouhlasení spouští škodlivou aktivitu. Google v reakci uvedl, že známé vzorky malwaru byly z ekosystému na Play Store odstraněny a že ochranné mechanismy Androidu a služby Play Protect dokážou podobné chování detekovat.
Přesto si ale dejte pozor, jaké aplikace stahujete a odkud.
Zdroje: BleepingComputer
ČLÁNKY DO MAILU