В официальном каталоге Google Play регулярно обнаруживают малварь, но специалисты компании Check Point сообщают, что текущий случай может оказаться крупнейшим из всех. Так, разработчики Google удалили из каталога 41 приложение, содержащее малварь Judy, и суммарно эти приложения были загружены 8,5-36,5 млн раз.
По данным специалистов, почти все обнаруженные приложения были разработаны южнокорейской компанией Kiniwini, зарегистрированной в Google Play как ENISTUDIO corp. При этом многие приложения «выживали» в Google Play годами, хотя большую часть этого времени они оставались «чистыми», то есть не содержали вредоносного кода. Опасные обновления начали появляться в апреле 2016 года, и не совсем ясно, добавляли вредоносный код сами разработчики Kiniwini, или же компанию скомпрометировали злоумышленники.
Основным назначением Judy являлось скликивание рекламы: малварь тайно запускала браузер, открывала определенный URL и использовала JavaScript для обнаружения и скликивания баннеров. Также зараженные Judy приложения и сами отображали навязчивую рекламу, зачастую практически блокируя возможность нормальной работы.
Так как не все приложения были созданы компанией Kiniwini, исследователи полагают, что вредоносных кампаний вообще могло быль две, и злоумышленники активно заимствовали код друг у друга (гласно или негласно, неизвестно).
Полный список опасный приложений можно найти в блоге компании Check Point.