I slutet på förra året började plötsligt den populära Android-appen Barcode Scanner sprida annonser på ett påträngande vis till de som laddat ner appen.
Det visade sig att en ny version av appen innehöll skadlig kod som pushade annonser till användarna efter att de uppdaterat appen till senaste versionen.
Fram till dess hade appen varit en helt vanligt och fullt användbart verktyg för att läsa av QR-koder Den hade funnits på Google Play Store i åratal och laddats ner mer än 10 miljoner gånger. Användarna hade gett den höga betyg. Vad hände egentligen?
”Tyvärr var det som hände med Barcode Scanner något som sker relativt ofta. När Barcode Scanner uppdaterades till senaste versionen satte den igång att spotta fram annonser som var igång hela tiden och var väldigt störande för användaren. Detta beteende berodde på ny skadlig kod, som utvecklaren dessutom dolt för att undvika upptäckt.”, säger Sara Fernholm på mobilsäkerhetsföretaget Lookout.
Det ska läggas till att detta inte är samma sak som när en app innehåller reklam. Annonser är vanligt förekommande, eftersom många gratisappar finansieras på det viset. En del sådana appar har så mycket reklam att är jobbiga att använda. Men i fråga om Barcode Scanner hade utvecklaren tagit det hela ett steg till.
”Det vi kan lära sig av denna historia är att appar kan förändras, och att det inte alltid är något som går att förutse. Det som hände hade dessutom kunnat varit betydligt mer skadligt än några annonser”, säger Sara Fernholm
När detta händer så handlar det oftast om relativt enkla appar, som en QR-scanner ju är ett exempel på, men det skulle lika gärna kunna varit en ficklampa eller en app med skärmbakgrunder. När utvecklaren väl fått en stor grupp användare att installera appen kan en av två saker hända, menar Lookout:
– Utvecklaren installerar efter ett tag skadlig programvara. Det här har vi sett hända ofta, till exempel med koden BeiTaAd som inlemmades i mer än 200 appar med mer än 440 miljoner installationer.
– Utvecklaren säljer appen till en oseriös aktör som installerar den skadliga koden. En utvecklare är ofta beredd att sälja till ett rimligt pris, men de är kanske inte alltid medvetna om vad som händer sedan. Utvecklarens goda rykte utnyttjas på det här viset för att kunna installera den skadliga koden utan att någon blir misstänksam, menar Sara Fernholm.
Förändringen från en helt legitim och ofarlig app till något annat kan gå väldigt snabbt och märks oftast inte alls. Användarna uppdaterar utan att misstänka något, och ofta har de ställt in så att uppdateringar sker automatiskt när det finns en ny version av appen.
Många företag låter dessutom anställda använda sina egna, privata mobiler för jobbändamål, vilket innebär att ingen kontrollerar hur de används. Att använda en programvara för att centralt hantera mobiler, en så kallad MDM (mobile device management), hjälper inte. Dessa lösningar gör det i och för sig möjligt att uppdatera apparna från centralt håll men de reagerar inte om en tidigare helt legitim app plötsligt förändras.
Lookout tipsar också om vad som kan göras för att undvika dessa incidenter:
– Verksamheter behöver utbilda användarna om konsekvenserna för dem själva och arbetsgivaren av att ladda ner risakbla appar. Även att ge appar väldigt breda rättigheter kan vara något som skadar dem.
– Använd en mobilsäkerhetslösning som kan accepteras av användarna, genom att den inte utgör en risk mot deras personliga integritet. Det innebär att verksamheter behöver använda en lösning som inte scannar själva innehållet i mobilerna utan bara apparna. På så sätt kan de säkra mobilerna – utan att kränka medarbetarnas integritet.