Специалисты компании Check Point обнаружили в официальном каталоге Google Play новую разновидность рекламной малвари, получившую имя SimBad, так как многие зараженные приложения – это игры симуляторы. Вредонос был найден в составе 206 приложений в Google Play, которые суммарно были установлены более 150 000 000 раз.
Исследователи связывают SimBad с популярным SDK RXDrioder, который используется для управления рекламой в приложениях. В компании полагают, что разработчики пострадавших приложений использовали вредоносный SDK по незнанию, без злого умысла, а создатели RXDrioder использовали свой продут для внедрения в чужие приложения рекламы. Данную теорию подтверждает тот факт, что вредоносная кампания не была направлена на какую-либо конкретную страну, и заражены оказались приложения самых разных разработчиков.
Проникнув на устройство в составе зараженного приложения, SimBad регистрирует себя в манифестах BOOT_COMPLETE и USER_PRESENT, что позволяет малвари выполнять действия сразу после того, как устройство завершит загрузку, и пока владелец его использует, соответственно. Затем вредонос связывается с управляющим сервером и получает инструкции от своих операторов. После этого малварь может совершать ряд опасных действий на устройстве пользователя: «прятать» иконку приложения от пользователя, чтобы его было сложнее обнаружить и удалить, показывать пользователю рекламу, открывать в браузере URL-адреса (для показа дополнительной рекламы или фишинга), а также открывать каталог Google Play или 9Apps на странице какого-либо приложения (если операторы малвари получают процент за установки).
Изучив код SimBad, исследователи пришли к выводу, что малварь могла бы даже показывать кастомные уведомления и устанавливать на устройство новые приложения за спиной пользователя. Эксперты пишут, что во время наблюдений SimBad действовал исключительно как adware, но у данной угрозы был значительно более опасный потенциал.
Вредоносная кампания была обнаружена экспертами еще в январе 2019 года, и Check Point сообщает, что уже в конце февраля все зараженные приложения были удалены из Google Play. Полный список зараженных приложений можно найти в конце отчета экспертов, а ниже можно увидеть топ-10 самых скачиваемых из них.
| Название пакета | Название приложения | Кол-во установок |
| com.heavy.excavator.simulator.driveandtransport | Snow Heavy Excavator Simulator | 10 000 000 |
| com.hoverboard.racing.speed.simulator | Hoverboard Racing | 5 000 000 |
| com.zg.real.tractor.farming.simulator.game | Real Tractor Farming Simulator | 5 000 ,000 |
| com.ambulancerescue.driving.simulator | Ambulance Rescue Driving | 5 000 000 |
| com.heavymountain.bus2018simulator | Heavy Mountain Bus Simulator 2018 | 5 000 000 |
| com.firetruckemergency.driver | Fire Truck Emergency Driver | 5 000 000 |
| com.farming.tractor.realharvest.simulator | Farming Tractor Real Harvest Simulator | 5 000 000 |
| com.carparking.challenge.parksimulator | Car Parking Challenge | 5 000 000 |
| com.speedboat.jetski.racing.simulator | Speed Boat Jet Ski Racing | 5 000 000 |
| com.watersurfing.carstunt.racing.simulator | Water Surfing Car Stunt | 5 000 000 |
