Специалисты компании Trend Micro обнаружили в каталоге Google Play 85 приложений, демонстрировавших пользователям навязчивую рекламу. Суммарно вредоносы были загружены более 8 млн раз.
Малварь, получившая идентификатор AndroidOS_Hidenad.HRXH, маскировалась под различные игры и ПО для работы с фотографиями. Так, в числе вредоносных приложений были Magic Camera: Make Magical Photos, Blur Photo Editor, Background Replacement, Find the difference: smart detective, а также Color House2019.
Вскоре после установки такие приложения демонстрировали жертвам навязчивую полноэкранную рекламу, затрудняя закрытие баннеров и делая практически невозможной нормальную работу с устройством.
Исследователи отмечают, что после установки и запуска такие приложения демонстрировали и не совсем обычное поведение: они записывали две временные метки, installTime и networkInstallTime. Затем малварь регистрировала Broadcast Receiver (компонент Android, который позволяет приложениям получать и отправлять реакции на системные события или события приложений) для android.intent.action.USER_PRESENT. В итоге это позволяло злоумышленникам отслеживать активность пользователя после каждого «пробуждения» зараженного устройства.
Так, вредонос сравнивал текущее время (системное время устройства) с меткой, сохраненной как installTime; затем сравнивал текущее сетевое время (запрашиваемое через RESTful API) с меткой, сохраненной как networkInstallTime. Так приложение определяло, достаточно ли долго оно установлено на устройстве (время задержки перед началом вредоносной активности по умолчанию составляло 30 минут). Если времени прошло достаточно, малварь инициировала скрытие своего значка и создание ярлыка вместо него (чтобы предотвратить легкое удаление).
Затем, используя Broadcast Receiver, чтобы следить за активностью пользователя, приложение приступало к демонстрации рекламы. Метки installTime и networkInstallTime также использовались для определения того, как долго малварь уже установлена на устройстве. Кроме того, вредонос регулярно проверял последнюю рекламу, чтобы убедиться, что не показывает одно и то же объявление слишком часто.
В настоящее время все вредоносные приложения уже были удалены из Google Play. Полный список индикаторов компрометации можно найти здесь.
