Эксперты компании Malwarebytes обнаружили интересное вредоносное приложение для Android, которое выдает себя за блокировщика рекламы, но на самом деле предназначено именно для показа нежелательной рекламы пользователям. Малварь получила название FakeAdsBlock и уже заразила не менее 500 устройств. Хотя, собрав более 1800 образцов малвари, исследователи полагают, что общее число заражений намного выше.
FakeAdsBlock распространяется через сторонние каталоги приложений, где фигурирует как приложение для блокировки рекламы под названием Ads Blocker. Хуже того, эксперты также заметили, что FakeAdsBlock скрывался и в других приложениях под названиями Hulk (2003) .apk, Guardians of the Galaxy.apk и Joker (2019) .apk. Эти названия ясно свидетельствуют о том, что создатели малвари пытались перенести распространение вредоноса на поддельный портал потокового видео. То есть пользователи хотят посмотреть пиратский фильм, а в конечном итоге устанавливают вредоносное приложение, зараженное FakeAdsBlock.
Во время установки на устройство фальшивый блокировщик запрашивает разрешение на показ контента поверх других приложений. Это уже довольно странно для приложения, чья задача блокировать контент, а не показывать один контент поверх другого. Затем FakeAdsBlock запрашивает доступ для установки VPN-подключения, что тоже весьма странно. Впрочем, на самом деле приложение вообще не подключается к VPN, вместо этого нажатие на кнопку« ОК» разрешает малвари всегда работать в фоновом режиме.
Также FakeAdsBlock запрашивает разрешение на отображение виджета на домашнем экране устройства. На первый взгляд это тоже не имеет никакого смысла, ведь блокировщику рекламы не нужно показывать виджеты. Исследователи объясняют, что малварь использует прозрачный виджет, внутри которого загружает рекламу через регулярные промежутки времени. Поскольку объявления отображаются внутри виджета, от них невозможно избавиться, если пользователь не удалит виджет. Но поскольку пользователь виджета не видит, он вообще не знает, что тот существует.
На этом установка завершается, и приложение навсегда исчезает из поля зрения жертвы. Вредоносная программа удаляет свою иконку, и начинает бомбардировать пользователя рекламой, которая отображается везде, в самых разных формах. Появляются полноэкранные объявления, спам-уведомления и сайты, которые неожиданно открываются, предлагая пользователю включить новые уведомления.
Удалить FakeAdsBlock можно только через настройки, зайдя в список приложений Android. Здесь приложение легко обнаружить, так как оно единственное не имеет значка и имени. Очевидно, авторы FakeAdsBlocker хотели скрыть эти детали, чтобы приложение было труднее заметить, но все вышло совсем наоборот.