Специалисты компании Symantec обнаружили в приложениях из Google Play вредоноса Sockbot, который объединял зараженные устройства в ботнет. В итоге, в начале октября 2017 года, из официального каталога приложений были удалены восемь программ разработчика FunBaster, загруженные от 600 000 до 2,6 млн раз. Стоит отметить, что все приложения были подписаны разными ключами разработчиков с целью избежать обнаружения. Так как у Google есть возможность удалять опасные приложения с пользовательских устройств, большинство приложений уже удалены и оттуда.
Вредонос распространялся в составе различных приложений, включая легитимные, на первый взгляд, скины для Minecraft: Pocket Edition (PE). Однако разработчики малвари скрытно зарабатывали деньги на своих пользователях.
Имя Sockbot, по сути, объясняет принцип работы обнаруженной малвари. Вредонос устанавливал на зараженные устройства SOCKS-прокси, после чего ожидал команд от управляющего сервера. Исследователи пишут, что основной функцией Sockbot было отображение рекламы, данные о которой он и получал от своих операторов. Тем не менее, аналитики Symantec считают, что авторы малвари в любой момент могли перепрофилировать свой «продукт» и использовать его для осуществления DDoS-атак или проксирования вредоноского трафика.
В основном от Sockbot пострадали пользователи из США, но также были жертвы из России, Украины, Бразилии и Германии.
Напомню, что сегодня стало известно, что компания Google запустила bug bounty программу для сторонних приложений в Google Play, однако adware, фейковые приложения и откровенные вредоносы под условия программы пока не подпадают.
