Специалисты британской ИБ-компании Upstream обратили внимание на подозрительный трафик, исходящий со смартфонов некоторых клиентов. Проведенное расследование выявило, что дело в приложении Weather Forecast-World Weather Accurate Radar, созданном китайской TLC Corporation, которой принадлежат такие бренды, как Alcatel, BlackBerry и Palm.
Данное приложение с прогнозом погоды предустановленно на смартфонах Alcatel «из коробки» (в частности на моделях Pixi 4 и A3 Max), а также было доступно другим пользователям Android через каталог Google Play, причем число его загрузок превышало 5 000 000.
Изначально эксперты обнаружили, что приложение собирает данные о пользователях (email-адреса, коды IMEI, данные о геолокации) и передает их в Китай. Потом выяснилось, что этим дело не ограничивается, и скрытый в приложении вредоносный код действует иначе в некоторых регионах. Так, приложение пыталось тайно подписать пользователей на различные платные сервисы, о чем сообщали пользователи в Бразилии, Нигерии, Малайзии, Кувейте, Южной Африке, Египте и Тунисе.
Исследователи пишут, что только за период с июля по август 2018 года было зафиксировано и блокировано более 2,5 млн попыток осуществления транзакций с устройств Alcatel в Бразилии. На неназванный платный сервис пытались подписаться с 128 845 уникальных мобильных номеров. В Кувейте за тот же период времени было обнаружено и блокировано 78 940 транзакций.
В общей сложности специалисты Upstream зафиксировали и блокировали более 27 000 000 попыток подписаться на платные сервисы, что в общей сложности могло бы обойтись пострадавшим в 1 500 000 долларов США.
Кроме того, Weather Forecast-World Weather Accurate Radar демонстрировало и другое вредоносное поведение: приложение действовало как adware, в фоновом режиме открывало скрытые окна браузера и загружало различные веб-страницы, на которых скликивало рекламные объявления. Эта скрытая активность генерировала 50-250 Мб трафика ежедневно, что тоже могло негативно отразиться за кошельках владельцев зараженных устройств.
В настоящее время специалисты Google уже исключили опасное приложение из Google Play. Судя по всему, источником заражения стал один из разработчиков TLC Corporation, чья система была скомпрометирована, и в результате малварь проникла в код приложения. В данный момент компанией TCL проводится тщательная проверка.