Специалистами компании Palo Alto Networks зафиксирован новый случай внедрения стороннего SDK в легитимные приложения.
Ранее сообщалось, что около 250 приложений, содержащих SDK от компании Youmi, были удалены из магазина App Store. Теперь специалистами зафиксирован Taomike SDK, который, как утверждается, крадет копии всех входящих SMS-сообщений и пересылает их на сервер, находящийся под контролем Taomike. Как сообщают эксперты, источником проблемы является библиотека zdtpay, отвечающая за вредоносную активность. Эта библиотека входит в состав системы встроенных in-app-покупок платформы Taomike.
Начиная с августа, специалистами было обнаружено около 18000 Android-приложений, содержавших библиотеку Taomike. Стоит отметить, что распространение данных приложений осуществлялось не через Google Play, а с помощью размещенных в Китае магазинов приложений.
Однако не у всех приложений, содержавших Taomike SDK, была обнаружена способность похищать SMS-сообщения. В результате проведенного исследователями анализа оказалось, что функционал такого рода имеется лишь в образцах с внедренным URL. IP-адрес принадлежит API-серверу Taomike, на который пересылалась вся похищенная переписка, а не только сообщения, относящиеся к рекламной платформе. Всего специалистами было обнаружено 63000 Android-приложений, в которых содержалась библиотека Taomike, но лишь 18000 имели вредоносный функционал.
На данный момент неясно, каким образом в Taomike используется похищенная SMS-переписка. Жертвами вредоносной активности стали только китайские пользователи, осуществлявшие загрузку приложений из сторонних магазинов. В Google Play Store зараженных приложений зафиксировано не было.