Malware-Android

 

Предыстория

На оффоруме компании SuperCell был опубликован занимательный тред «Supercell application privacy issues» (SuperCell нарушает конфиденциальность). Вот краткий пересказ всего полезного в том треде.

[imbaIodine] Мой тред на форуме был удален без предварительного уведомления и без оснований… Нажмите здесь. Эта ссылка служит для перехода на сайт, где сделан подробный анализ APK-файла Clash Royale. Как мы можем видеть это приложение сканирует ваше Андроид устройство и отправляет полученные данные на удаленный сервер третьей стороны. Эти передаваемые данные могут или не могут считаться чувствительными, но ясно понятно, что это само по себе является вопросом о конфиденциальности. Во всяком по отчету видно, что Clash Royale от SuperCell имеет вредоносные компоненты.

Я дам вам подсказку. Например, вот эта строка по сути сканирует устройство.
«android.app.ActivityManager.getRunningAppProcesses».

SuperCell превысил свои полномочия путем сканирования наших устройств и сбора информации , которую мы не соглашались передавать. Вне зависимости от того, являются ли SC нигерийскими мошенниками или русской мафией, доступ к содержимому устройства без разрешения владельца является взломом.

#36 [FantasticFour] SuperCell в своей политике конфиденциальности (SuperCell’s Privacy policy) заявляет следующее.

При использовании любой из игр SuperCell или приложений на мобильной платформе,  разрабы могут собирать и записывать определенную информацию , такую ​​как уникальный идентификатор устройства, тип оборудования, MAC-адрес, международный идентификатор мобильного оборудования IMEI, версию операционной системы, имя устройства, адрес электронной почты (если вы подключены к Facebook или Google+), и ваше местоположение (на основе IP адреса). Кроме того, разработчики создают уникальный идентификатор пользователя для отслеживания использования их сервиса. Facebook Connect, Game Center и Google+ могут войти на их сайт , используя для входа SN Service, такие как Facebook Connect, LinkedIn, Game Center от Apple, или Open ID. Информация , которую SC собирает при подключении учетной записи пользователя к SN услуге может включать в себя: (1) ваше имя, (2) ваш идентификационный номер, (3) языковой стандарт, город, штат и страну, ( 4) пол, (5) дату рождения, (6) адрес электронной почты, (7) изображение профиля, и (8) SN Service идентификационные номера пользователей ваших друзей, которые также подключены к игре(ам) SuperCell.

Steam, Sony, Nintendo, Bethesda и многие другие крупные игровые компании все были взломаны в прошлом.

Следовательно …

Если SuperCell записывает к себе на сервер дополнительную приватную информацию о том , что находится на наших устройствах это безответственно и подвергает всех своих игроков ненужному риску. Даже простой информации, такой как имеет ли устройство «jail break» или «root» или определённая версия ОС достаточно, чтобы сделать его желанным призом для хакеров.

 

Ответ от СуперЯчейки гласит, что они ни в коем случае не шпионят за пользователями.

Читать ещё :   5 уроков которые разработчики игр могут извлечь из успеха пачинко

Ну и далее идут обвинения топик-стартера в том, что он нашел «всемирный заговор» на пустом месте, ну как обычно, если нет чего возразить по существу, то в ход идут подобные «приёмчики» из арсенала «сам дурак».

Почему же тема не удалена с потрохами как было бы без промедления сделано на русскоязычном форуме ? А потому что «у них» обвинение в нарушении privacy это весьма серъезно. ТС правда забанили.

Вот скриншот и PDF файлы с отчетами (analysis-clash-royale.pdfanalysis-clash-of-clans.pdf), которые я сохранил для истории.

Supercell-privacy-issues

Разберём подробнее, что в отчете «Clash Royale_apkpure.com.apk».

Вредоносные индикаторы Clash Royale

Отчет показывает «Вредоносные индикаторы». Необычные характеристики следующие.

Clash Royale имеет возможность запрашивать местоположение телефона (GPS). В APK найдены вызовы :

android.location.Location.getLatitude
android.location.Location.getLongitude

В Clash Royale есть возможность использовать DexClassLoader (возможно для инъекций кода). В APK найдены вызовы :
dalvik.system.DexClassLoader.loadClass
dalvik.system.DexClassLoader.<init>

Подозрительные показатели Clash Royale

Далее. Clash Royale имеет возможность читать список запущенных процессов и установленных пакетов вызывая android.app.ActivityManager.getRunningAppProcesses

Clash Royale требует разрешения, которые могут быть использованы для вредоносных намерений:
android.permission.INTERNET
android.permission.WAKE_LOCK
android.permission.CHANGE_WIFI_STATE
android.permission.WRITE_EXTERNAL_STORAGE

Использует классы java.lang.reflect.* — это механизм исследования данных о программе во время её выполнения. Пояснять надо?

Clash Royale имеет возможность доступа к внешним системам хранения данных.

Имеет возможность идентифицировать сетевые данные, относящиеся к вашему мобильному оператору. А это-то зачем?

Имеет возможность самостоятельно создать подключение к Интернет. Само по себе это действие достаточно безобидно, но вкупе с другими наводит на мысли.

Далее в отчёте написано, что вирусов не найдено. Спасибо Super Cell.
Но общий вердикт — вредонос.

Вредоносные индикаторы Clash of Clans

На том же сайте ищется и анализ APK Clash of Clans (копия analysis-clash-of-clans.pdf). Бегло пробежимся.
Далее найдены все те же самые подозрительные вещи, что и в Royale плюс следующее.

Читать ещё :   Уязвимость Dirty Cow. Буря в стакане

Главное — файл был идентифицирован как вредоносный как минимум одним доверенным антивирусным сканером (!). Вот это поворот! Читаем дальше.

Clash of Clans может читать ID девайса, такое как IMEI или ESN. Зачем?

Имеет возможность выполнения кода после перезагрузки. Разрешение android.permission.RECEIVE_BOOT_COMPLETED

Всё тоже использование DexClassLoader и java.lang.reflect.*.

И общий вывод — вредонос.

Свои выводы и XMOD

Хотя внутри APK файлов Clash Royale, Clash of Clans и найдены вызовы подозрительных функций, но это не значит, что они используются. И это не значит, что подозрительный код принадлежит SC, это могут быть сторонние библиотеки. Разработчики так же не пойманы, что собранные приватные данные отсылаются куда-либо, но код для этого есть.

И ? Как говорил товарищ Сталин «не исключено, а значит возможно».

Некоторые «обычные» приложения используют намного больше разрешений и не меньше подозрительных. Пусть меня обвинят в поиске «всемирных заговоров», но «Большой Брат следит за тобой» и это правда.

Казалось бы, а причём тут XMOD ? Как мы уже знаем, SC с апреля стала жёстко банить не только и не столько за применение XMOD, но и даже если Хмод не использовался или давно не использовался, а просто был установлен. Это значит что? Это значит, что SuperCell в какой-то части всё-таки нарушает правила, осуществляя поиск по памяти. Т.е. юридическая зацепка железно есть.

Короче говоря прецедент ждет более развернутого ответа от Super Cell, чем просто «вы все дураки». А еще лучше отчет об исследовании от третьей независимой стороны (#164).

Ждём-с.

Новости по теме