Приложения с 1,5 млн установок занимались кликфродом и разряжали батареи устройств

Эксперты Symantec обнаружили в Google Play вредоносные приложения, которые скликивали «невидимую» рекламу, снижали производительность зараженных устройств и разряжали их батареи.

Кликфрод-функции были найдены в приложении для заметок (Idea Note: OCR Text Scanner, GTD, Color Notes) и фитнес-приложении (Beauty Fitness: daily workout, best HIIT coach), которые суммарно были установлены более 1,5 млн раз и загружены в Google Play более года назад разработчиком Idea Master.

Вредоносная активность приложений началась с сообщения через Android Notification Manager, нажатие на которое запускало скрытый показ рекламы. Исследователи рассказывают, что креативный разработчик малвари использовал всплывающие уведомления (Toast Notification) для загрузки объявлений. Дело в том, что такой метод позволял скрыть рекламу от жертвы, поместив уведомление за пределы видимой части экрана.

Так, автор малвари использовал translate() и dispatchDraw() и Canvas-объект оказывался невидим для пользователя. После этого в дело вступал автоматический кликер, который скликивал объявления, что и приносило доход разработчику приложений.

Аналитики отмечают, что приложения долгое время оставались незамеченными из-за использования легитимного упаковщика, который обычно используется для защиты интеллектуальной собственности. Это затруднило работу автоматических сканнеров Google и работу ИБ-экспертов, которые изучали APK.

И хотя реклама была невидима для владельцев зараженных устройств, работа малвари негативно сказывалась на производительности, батарея начинала разряжаться гораздо быстрее, а посещение многочисленных рекламный сайтов генерировало дополнительный мобильный трафик.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (2)