206 приложений из Google Play, установленные более 150 млн раз, содержали adware

Специалисты компании Check Point обнаружили в официальном каталоге Google Play новую разновидность рекламной малвари, получившую имя SimBad, так как многие зараженные приложения – это игры симуляторы. Вредонос был найден в составе 206 приложений в Google Play, которые суммарно были установлены более 150 000 000 раз.

Исследователи связывают SimBad с популярным SDK RXDrioder, который используется для управления рекламой в приложениях. В компании полагают, что разработчики пострадавших приложений использовали вредоносный SDK по незнанию, без злого умысла, а создатели RXDrioder использовали свой продут для внедрения в чужие приложения рекламы. Данную теорию подтверждает тот факт, что вредоносная кампания не была направлена на какую-либо конкретную страну, и заражены оказались приложения самых разных разработчиков.

Проникнув на устройство в составе зараженного приложения, SimBad регистрирует себя в манифестах BOOT_COMPLETE и USER_PRESENT, что позволяет малвари выполнять действия сразу после того, как устройство завершит загрузку, и пока владелец его использует, соответственно. Затем вредонос связывается с управляющим сервером и получает инструкции от своих операторов. После этого малварь может совершать ряд опасных действий на устройстве пользователя: «прятать» иконку приложения от пользователя, чтобы его было сложнее обнаружить и удалить, показывать пользователю рекламу, открывать в браузере URL-адреса (для показа дополнительной рекламы или фишинга), а также открывать каталог Google Play или 9Apps на странице какого-либо приложения (если операторы малвари получают процент за установки).

Изучив код SimBad, исследователи пришли к выводу, что малварь могла бы даже показывать кастомные уведомления и устанавливать на устройство новые приложения за спиной пользователя. Эксперты пишут, что во время наблюдений SimBad действовал исключительно как adware, но у данной угрозы был значительно более опасный потенциал.

Вредоносная кампания была обнаружена экспертами еще в январе 2019 года, и Check Point сообщает, что уже в конце февраля все зараженные приложения были удалены из Google Play. Полный список зараженных приложений можно найти в конце отчета экспертов, а ниже можно увидеть топ-10 самых скачиваемых из них.

Название пакета Название приложения Кол-во установок
com.heavy.excavator.simulator.driveandtransport Snow Heavy Excavator Simulator 10 000 000
com.hoverboard.racing.speed.simulator Hoverboard Racing 5 000 000
com.zg.real.tractor.farming.simulator.game Real Tractor Farming Simulator 5 000 ,000
com.ambulancerescue.driving.simulator Ambulance Rescue Driving 5 000 000
com.heavymountain.bus2018simulator Heavy Mountain Bus Simulator 2018 5 000 000
com.firetruckemergency.driver Fire Truck Emergency Driver 5 000 000
com.farming.tractor.realharvest.simulator Farming Tractor Real Harvest Simulator 5 000 000
com.carparking.challenge.parksimulator Car Parking Challenge 5 000 000
com.speedboat.jetski.racing.simulator Speed Boat Jet Ski Racing 5 000 000
com.watersurfing.carstunt.racing.simulator Water Surfing Car Stunt 5 000 000
"Мария Нефёдова : Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.."

Комментарии (1)

  • Пускай Check Point проверит еще browser extensions. Туда никто не заглядывает, а поле там непаханное.