’Judy’ er en klikbaseret reklamevirus, som sikkerhedsfirmaet Check Point har opdaget på Google Play. Den har været i ikke mindre end 41 forskellige apps fra en koreansk virksomhed. Den inficerer smartphones og tablets, og disse generer så et meget høj antal kliks på reklamer, og derved tjener bagmændene spandevis af penge på annoncerne.
Check Point har informeret Google, og de inficerede apps er efterfølgende blevet fjernet.
Jeg hører ganske ofte fra folk, at så længe de opfører sig fornuftigt, så behøver de ikke sikkerhedssoftware på deres smartphone eller tablet – heller ikke selvom de fleste har forstået vigtigheden i, at der skal sikkerhed på deres computer.
Men det er altså nødvendigt at beskytte Android-enheder, og ’Judy’ er et eksempel på hvorfor. Den var en del af mellem 4,5 og 18,5 millioner downloads, hvor applikationer har været imponerende gode til at undgå Googles indbyggede sikkerhedssoftware. Det har vist sig, at denne malware har været tilgængelig på Google Play i flere år. Samlet mener Check Point at mellem 8,5 og 36,5 millioner brugere potentielt er blev inficeret.
De skadelige applikationer er udviklet af det koreanske firma Kiniwini, der er registreret på Google Play som ENISTUDIO corp. Samme firma findes også på iOS-platformen, men der er der ’Judy’ så ikke kommet igennem.
Hvem der præcist står bag malwaren kan Check Point dog ikke sige, for det er svært at identificere de præcise bagmænd bag malware. Check Point har samtidig identificeret andre skadelige applikationer udviklet af andre bagmænd, der gør brug af lignende metoder.
Forbindelsen mellem kampagnerne kendes ikke, men det er en mulighed at en hackergruppe har, bevidst eller ubevidst, lånt koder fra den anden.
Sådan fungerer Judy
Hackerne bag Judy har skabt en app, der på overfladen ser uskyldig ud uden skadelig kode. På den måde er det også lykkedes appen at etablere forbindelse til potentielle ofres telefoner og derved undgå at blive smidt ud af Googles digitale dørmand Bouncer, der beskytter mod ondsindede apps i butikken.
Men når først en bruger har downloadet en af de ondsindede applikationer, etableres der ubemærket en forbindelse til bagmændenes server, som efterfølgende en datapakke afsted til telefonen eller tabletten med skadelig kode.
Herefter begynder malwaren at besøge hjemmesider i det skjulte uden brugerens viden, hvor appen via offerets enhed lokaliserer og klikker på webbannere fra Googles annoncenetværk. Ved at klikke på annoncerne, modtager folkene bag malwaren betaling fra hjemmesidernes udviklere, som betaler for de illegitime klik og trafik, hvilket også er grunden til at aktiviteterne ikke betegnes som reklame.
Malwaren kan i stedet bedst betegnes som illegitim udnyttelse af brugernes mobile enheder til at generere falske klik til fordel for bagmændene, hvor de mange falske klik samlet set genererer en stor indtægt til svindlerne, hvilket især skyldes den store udbredelse af malwaren.
Læs flere detaljer om Judy på Check Points blog her.
