Специалисты компании Wandera выявили в Apple App Store 17 приложений, которые содержали вредоносный код и имитировали взаимодействие пользователей с рекламными объявлениями. 17 зараженных приложений были опубликованы в App Store в различных категориях, от системных утилит до путешествий:

Все приложения были созданы индийским разработчиком AppAspect Technologies Pvt. Ltd и занимались рекламным мошенничеством: нажимали на ссылки и постоянно открывали окна с объявлениями в фоновом режиме, разумеется, все это происходило без ведома пользователей. Хотя adware была практически незаметна для пострадавших, аналитики Wandera отмечают, что работа таких приложений могла вызывать замедление работы устройств и приводить к более быстрой разрядке аккумулятора.

В общей сложности данный разработчик имеет 51 приложение в App Store, 35 из которых бесплатные. Все 17 зараженных приложений из числа бесплатных связывались с одним и тем же управляющим сервером, используя надежное шифрование, взломать которое исследователи не смогли. Очевидно, что этот управляющий сервер содержит полезную нагрузку, которая связана с кликфродом. Специалисты предполагают, что разработчик поместил вредоносный код во внешний источник, чтобы обойти механизмы безопасности App Store.

Эксперты заметили, что данная кампания очень похожа на кампанию, обнаруженную «Доктор Веб» в августе текущего года. Напомню, что специалисты «Доктор Веб» выявили в Google Play трояна-кликера, который работал в составе 34 приложений и точно так же использовался для накрутки посещений сайтов и монетизации онлайн-трафика. Дело в том, что в этой кампании был задействован тот же управляющий сервер, что и в инциденте, замеченном аналитиками Wandera.

У AppAspect Technologies есть профиль разработчика в Google Play Store и 28 опубликованных приложений в настоящее время. Эксперты Wandera изучили эти приложения и пришли к выводу, что они не связывались с подозрительным командным сервером. Тем не менее, дополнительные исследования выявили, что Android-приложения AppAspect Technologies тоже когда-то были заражены, что привело к их удалению из каталога. С тех пор они были переизданы и теперь не содержат вредоносных функций. В связи с этим эксперты Wandera отмечают, что вредоносный код в приложения мог добавить не сам разработчик, но речь может идти об атаке на цепочку поставок.

В настоящее время Apple удалила из App Store все скомпрометированные приложения, кроме двух: My Train Info - IRCTC & PNR и Easy Contacts Backup Manager. Исследователи продолжают наблюдать за развитием ситуации.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии