25 октября 2019

Обнаружено рекламное ПО для Android, от которого пострадали миллионы пользователей

Сергей Новиков

Антивирусная компания ESET сообщила об обнаружении в магазине приложений Google Play продолжительной вредоносной кибератаки, жертвами которой стали миллионы пользователей Android.

Отмечается, что всего было обнаружено 42 приложения, которые относятся к данной кампании по распространению нежелательного рекламного ПО; половина из них все еще была доступна на момент обнаружения. Отвечающая за безопасность команда из Google удалила эти приложения после уведомления компании, но они все еще доступны в сторонних магазинах.

Данные приложения предоставляют обещанные возможности — простые игры, онлайн-радио, загрузку видеороликов, — но также работают как рекламное ПО, с общим для всех функционалом. Суммарно эти вредоносные приложения загрузили 8 миллионов раз за последний год.

Приложения используют различные трюки для того, чтобы попасть на устройства жертв и остаться незамеченными: например, не показывают рекламу до тех пор, пока девайс не будет разблокирован. Если пользователь попытается выяснить, какое приложение запускает показ рекламы, то программа будет выдавать себя за Facebook или Google.

Также интересно то, как семейство Ashas прячет свой код под именем библиотеки com.google.xxx.

В процессе анализа приложений эксперты ESET заметили, что создатель вредоносного ПО оставил множество следов. Исследователи отследили разработчика при помощи информации из открытых источников. Он оказался оператором кампании и владельцем командного сервера.