Сотрудники Symantec рассказали всем о новой версии вредоносного ПО для Android, назвав Android.Counterclank «угрозой, похожей на бота, которая может получать команды для выполнения определенных действий, а также красть информацию с устройства». Они отмечают, что запуск одного из приложений, «зараженных» пакетом apperhand SDK, покажет вторую запущенную службу и часто помещает значок поиска на главном экране. Они подтвердили, что это в 13 приложениях на Android Market и называют это «самым большим распространением среди всех вредоносных программ, выявленных в этом году». В некоторых сообщениях в Интернете утверждается, что это могло затронуть 5 миллионов пользователей. Это 5 000 000 - огромное и страшное число. И это делает для отличного заголовка.
Но похоже, что Symantec, возможно, немного подскочил.
Lookout, конкурент в области безопасности Android, говорит, что приложения не являются вредоносными программами, а пакет apperhand на самом деле является законным, но агрессивным компонентом. Он является частью комплекта для разработки рекламного программного обеспечения, представляющего собой модифицированную версию платформы «ChoopCheec» или «Plankton» SDK, которая была в центре некоторых проблем с конфиденциальностью в июне 2011 года. Эта более новая версия является более чистой, но она по-прежнему имеет возможности, общие для многих рекламные сети. Пишет Lookout:
- Например, он может однозначно идентифицировать пользователя по номеру IMEI. Но в отличие от некоторых сетей этот SDK перенаправляет IMEI перед отправкой на свой сервер. Они идентифицируют ваше устройство, но они запутывают необработанные данные. (Это хорошая вещь.)
- SDK имеет возможность доставлять пользователю рекламу «Push Notification». Мы не большие поклонники push-уведомлений, но мы также не считаем рекламу push-уведомлений вредоносной.
- SDK оставляет значок поиска на рабочем столе. Опять же, мы считаем плохую форму, хотя мы не считаем это курящим оружием для вредоносных программ при условии, что доставляемый контент безопасен. В данном случае это просто ссылка на поисковик.
- SDK также имеет возможность выдвигать закладки в браузер. По нашему мнению, это пересекает черту; хотя мы не считаем, что это является причиной для классификации SDK как вредоносного ПО.
Мы не уверены точно, насколько далеко это далеко, но если приложения используют методы, найденные во «многих» других рекламных сетях, мы соглашаемся с пунктами Lookouts, перечисленными здесь, и должны называть это вопросом, когда речь идет о вредоносном ПО. Что касается конфиденциальности и бессмысленного обмена пользовательскими данными, нам это не нравится, но это не вредоносное ПО.
Мы не специалисты по безопасности, и мы никогда не претендуем на это. Мы можем разбить приложения на части и посмотреть, что там скрывается, но углубленное сканирование и анализ лучше оставить экспертам. Тем не менее, мы являемся экспертами в ловле ерунды, и это пахнет. Никто не любит рекламу, но мы не можем просто назвать их вредоносными программами в любое время. Они являются частью модели приложений, поддерживаемых рекламой, и мы должны ожидать увидеть больше, чем нам нравится. Когда они плохо себя ведут, зовите чью-то голову, но не раньше.
Но это не сенсация. Такие заголовки, как « Массовое вредоносное ПО для Android» от Computerworld, возможно, заразили 5 миллионов пользователей, вызывают споры, и все любят споры. Объяснение того, что отметка в 5 миллионов от добавления верхнего предела счетчиков загрузки, которая допускает погрешность в 4 миллиона устройств, удобно забыто. И мы хотели бы думать, что, если бы 1 000 устройств на нижнем уровне были заражены, Google и команда Android Market сказали бы что-нибудь.
Короче говоря, мы спим очень хорошо сегодня вечером. Двигайся.
Больше: Symantec; Быть осторожным