Como devo lidar com este aplicativo suspeito?

18

Ao percorrer a lista 'instalada' do Google Play, notei um aplicativo muito estranho chamado SOUPER ANDROID DEVELOPMENT.

O que há de tão suspeito nisso é:

  • Não faz absolutamente nada para explicar o que é, o que faz ou as permissões necessárias
  • Não há opção para abrir / desinstalar
  • Não consigo encontrá-lo procurando por ele
  • Está esmaecido na lista com os outros aplicativos
  • Não está listado quando navego em play.google.com/apps
  • Ninguém (nos comentários) parece saber onde eles conseguiram.

Observe que o aplicativo está esmaecido (acinzentado)

O aplicativo está esmaecido na lista de aplicativos

Eu fui rolado para o topo da página durante a captura de tela. Observe quantos recursos padrão estão faltando

A página de mercado do aplicativo não está em conformidade com o padrão

Não tenho ideia de onde veio. Eu imagino que seja parte do imenso conjunto de bloatware fornecido pela Verizon ou, o que eu acho que é mais provável, o método usado para fazer root no meu telefone: o Motorola Root Tools de Pete . Examinei meu telefone com o Lookout, mas ele não encontrou nada.

  1. Alguém pode fornecer uma visão sobre o que é este aplicativo?
  2. Como devo remover este aplicativo? Estou tendo dificuldade em localizá-lo System App Remover.
  3. Devo suspeitar da ferramenta de root que usei e tomar alguma ação? Foi-me dito que isso é legítimo. Seja ou não, não parece ser parte do problema.
  4. Como você pode rastrear um aplicativo de mercado para o nome do pacote?

Atualizar

Ao pesquisar outras reclamações sobre este aplicativo, eu descobri:

  • Um link para ele no Google Play (removido). Ainda estou curioso para saber como alguém obteve esse link, não o encontrei em uma pesquisa ou em nenhuma referência a ele.
    • Ele diz que não é compatível com nenhum dos meus dispositivos, mas está instalado.
    • Ninguém encontrou vestígios dele no telefone (provavelmente porque está 'vinculando' com com.motorola.contacts.preloaded)
  • Parece estar afetando apenas os usuários do Droid 3.

Atualização 3/28/2012

Atualização final / breve resumo:

  • 26/03: o aplicativo apareceu sem a instalação aprovada pelo usuário com o nome "Brett Henderson", sem opção de abrir ou desinstalar. Mais tarde renomeado "Souper Android Development".
  • 27/03: clicou no botão "compartilhar" do aplicativo para visualizar seu link para o aplicativo no telefone (com.motorola.contacts.preloaded). Isso confirma a suspeita de Richard de que ele estava apenas compartilhando seu nome com um aplicativo legítimo do sistema, em vez de instalar o lixo eletrônico no telefone. Outras leituras revelaram que cada aplicativo tem um ID exclusivo para impedir que um aplicativo forneça "atualizações" para outro com o mesmo nome.
  • 28/03: o aplicativo foi removido do mercado de aplicativos. Como apontado por Matthew Read, um bug semelhante aconteceu há pouco tempo. Até o momento, não li nada oficial sobre esse caso.
applications uninstallation malware Gary
fonte
6
Eu não ficaria surpreso se alguém explorasse esse bug .
Matthew Leia
@ Matthew: Estou tentando encontrar o que esse aplicativo de mercado está "vinculado" no meu telefone. No ADK, corri pm list packages -f, mas não vi "SOUPER" em lugar nenhum. Você sabe como ver o nome exibido do aplicativo?
28712 Gary
ADBnãoADK
Gary
Hmm, não tenho certeza. Você poderia entrar no /system/app/*.apk"souper".
Matthew Leia
Mais uma vez obrigado Matthew. Nada diferente em * .apk, mas acredito que este aplicativo está fingindo ser com.motorola.contacts.preloaded.
Gary

Respostas:

8

Não há nada malicioso aqui. Um desenvolvedor fez o upload de um aplicativo para a loja de jogos com o mesmo nome de pacote que um aplicativo do sistema no seu telefone.
A nova atualização da play store aprimorou a detecção de aplicativos do sistema e os vinculou. Provavelmente isso será resolvido em breve. Não há necessidade de trazer as grandes armas.

A vigia e outras ferramentas de "antivírus" não mostram nada de malicioso porque não conseguiam distinguir os pássaros raivosos de uma bomba nuclear. Eles são completamente inúteis contra qualquer ataque sofisticado.

RR
fonte
3
Pode muito bem haver algo malicioso aqui. Isso não parece um erro honesto (como no caso do aplicativo da operadora de telefonia russa que Matthew Read vinculou em seu comentário.) Isso parece uma tentativa deliberada de enganar o mercado para "atualizar" um aplicativo de sistema com este lixo. Ainda mais suspeito é o fato de que este aplicativo já foi retirado da Play Store, apenas algumas horas depois de ter sido sinalizado.
Chahk 27/03
Como posso confirmar isso? Certamente, há uma maneira de ver este link (ou seja, rastrear um aplicativo de mercado de volta ao aplicativo instalado). Quanto ao aplicativo "antivírus", eu sei que é uma piada para dizer o mínimo. A única razão pela qual me incomodei em mencionar isso foi impedir alguém de me perguntar se eu fiz.
Gary
Todo aplicativo é assinado com as chaves do desenvolvedor. Se as chaves da atualização e o aplicativo original não coincidirem, o Android se recusará a instalar a atualização. A menos que o invasor tenha conseguido obter a chave privada da Motorola, esse ataque não é viável.
RR
Isso faz sentido, mas existe uma maneira de ver qual é o nome do pacote do aplicativo enquanto ele está no mercado? O que eu gostaria de fazer é ver [aplicativo de mercado com o nome "abc"] == [aplicativo de telefone com o nome "abc"]. Eu sei que estou sendo um pouco paranóico, mas só espero ter algo mais tangível do que "não se preocupe com isso".
Gary
11
Não. Nas últimas versões, o Google começou a manipular aplicativos vinculados nos servidores, em vez de permitir que o aplicativo do mercado o fizesse. Isso também resultou em aplicativos que você encontrou em outro lugar (Amazon) como comprado no mercado, mas não conseguiu fazer o download ou comprar lá. Realmente irritante.
RR