Аналитики «Доктор Веб» выявили очередного трояна в каталоге приложений Google Play. Угроза получила идентификатор Android.Click.312.origin и представляет собой классический кликер, то есть используется для накрутки посещений сайтов и монетизации онлайн-трафика.

Малварь была встроена в самые обычные на первый взгляд приложения (список можно увидеть в конце статьи): словари, онлайн-карты, аудиоплееры, сканеры штрих-кодов и так далее. Все эти программы работали именно так, как и было заявлено в описании, и для владельцев Android-устройств выглядели совершенно безобидными. Кроме того, троян начинал вредоносную деятельность лишь через 8 часов после первого запуска приложения, чтобы не вызвать подозрений у своих жертв.

Начав работу, троян передает на управляющий сервер следующую информацию о зараженном устройстве:

  • производитель и модель;
  • версия ОС;
  • страна проживания пользователя и установленный по умолчанию язык системы;
  • идентификатор User-Agent;
  • наименование мобильного оператора;
  • тип интернет-соединения;
  • параметры экрана;
  • временная зона;
  • информация о приложении, в которое встроен троян.

В ответ сервер отправляет малвари необходимые настройки. Часть функций вредоносного приложения реализована с использованием рефлексии, и в этих настройках содержатся имена методов и классов вместе с параметрами для них. Эти параметры применяются, например, для регистрации приемника широковещательных сообщений и контент-наблюдателя, с помощью которых малварь следит за установкой и обновлением программ.

После установки нового приложения или скачивании APK-файла клиентом Play Маркет троян передает на управляющий сервер информацию об этой программе вместе с некоторыми техническими данными об устройстве. В ответ он получает адреса сайтов, которые открывает в невидимых WebView, а также ссылки, которые загружает в браузере или каталоге Google Play.

Таким образом, в зависимости от настроек управляющего сервера и поступающих от него указаний, троян может не только рекламировать приложения в Google Play, но и незаметно загружать любые сайты, в том числе с рекламой (включая видео) или другим сомнительным содержимым. Например, после установки приложений, в которые был встроен троян, пользователи жаловались на автоматические подписки на дорогостоящие услуги контент-провайдеров.

Специалистам не удалось воссоздать условия для загрузки таких сайтов, однако потенциальная реализация этой мошеннической схемы может быть достаточно проста. Так как троян сообщает управляющему серверу информацию о типе текущего интернет-соединения, при наличии подключения через сеть мобильного оператора сервер может передать команду на открытие сайта одного из партнерских сервисов, поддерживающих технологию WAP-Сlick. Эта технология упрощает подключение различных премиальных сервисов и часто применяется для незаконной подписки пользователей на премиум-услуги. В некоторых случаях для подключения такой услуги не требуется подтверждение пользователя — за него это сможет сделать скрипт, размещенный на той же странице. Он и «нажмет» на кнопку подтверждения вместо жертвы. Поскольку малварь откроет страницу сайта в невидимом WebView, вся процедура пройдет без ведома и участия пользователя.

В общей сложности эксперты «Доктор Веб» выявили 34 приложения, в которые была встроена малварь. Их установили свыше 51 700 000 пользователей. Кроме того, модификацию того же трояна, получившую имя Android.Click.313.origin, загрузили по меньшей мере 50 000 000 человек. Таким образом, общее число владельцев мобильных устройств, которым угрожает этот троян, превысило 101 700 000. Ниже представлен список приложений, в которых был найден кликер:

GPS Fix
QR Code Reader
ai.type Free Emoji Keyboard
Cricket Mazza Live Line
English Urdu Dictionary Offline - Learn English
EMI Calculator - Loan & Finance Planner
Pedometer Step Counter - Fitness Tracker
Route Finder
PDF Viewer - EBook Reader
GPS Speedometer
GPS Speedometer PRO
Notepad - Text Editor
Notepad - Text Editor PRO
Who unfriended me?
Who deleted me?
GPS Route Finder & Transit: Maps Navigation Live
Muslim Prayer Times & Qibla Compass
Qibla Compass - Prayer Times, Quran, Kalma, Azan
Full Quran MP3 - 50+ Audio Translation & Languages
Al Quran Mp3 - 50 Reciters & Translation Audio
Prayer Times: Azan, Quran, Qibla Compass
Ramadan Times: Muslim Prayers, Duas, Azan & Qibla
OK Google Voice Commands (Guide)
Sikh World - Nitnem & Live Gurbani Radio
1300 Math Formulas Mega Pack
Обществознание - школьный курс. ЕГЭ и ОГЭ.
Bombuj - Filmy a seriály zadarmo
Video to MP3 Converter, RINGTONE Maker, MP3 Cutter
Power VPN Free VPN
Earth Live Cam - Public Webcams Online
QR & Barcode Scanner
Remove Object from Photo - Unwanted Object Remover
Cover art IRCTC Train PNR Status, NTES Rail Running Status

Эксперты уже уведомили о трояне инженеров Google, после чего некоторые из зараженных приложений были оперативно удалены из Google Play. Кроме того, для нескольких приложений были выпущены обновления, в которых троянский компонент уже отсутствует. Тем не менее, на момент публикации отчета об угрозе большинство приложений по-прежнему содержали вредоносный модуль и оставались доступными для загрузки через официальный каталог.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии