Специалисты компании McAfee сообщили, что из магазина Google Play  были удалены 16 вредоносных приложений, суммарно загруженные более 20 миллионов раз. Все эти приложения были заражены рекламным вредоносом Clicker и маскировались под безобидные утилиты.

Исследователи рассказывают, что Clicker можно было загрузить под видом фонарика, камеры, конвертера валют или единицы измерения, сканера для QR-кодов, приложения для создания заметок или словаря.

Полный список опасных приложений выглядит следующим образом:

  • High-Speed Camera (com.hantor.CozyCamera) — более 10 000 000 загрузок;
  • Smart Task Manager (com.james.SmartTaskManager) — более 5 000 000 загрузок;
  • Flashlight+ (kr.caramel.flash_plus) — более 1 000 000 загрузок;
  • 달력메모장 (com.smh.memocalendar) — более 1 000 000 загрузок;
  • K-Dictionary (com.joysoft.wordBook) — более 1 000 000 загрузок;
  • BusanBus (com.kmshack.BusanBus) — более 1 000 000 загрузок;
  • Flashlight+ (com.candlencom.candleprotest) — более 500 000 загрузок;
  • Quick Note (com.movinapp.quicknote) — более 500 000 загрузок;
  • Currency Converter (com.smartwho.SmartCurrencyConverter) — более 500 000 загрузок;
  • Joycode (com.joysoft.barcode) — более 100 000 загрузок;
  • EzDica (com.joysoft.ezdica) — более 100 000 загрузок;
  • Instagram Profile Downloader (com.schedulezero.instapp) — более 100 000 загрузок;
  • Ez Notes (com.meek.tingboard) — более 100 000 загрузок;
  • 손전등 (com.candlencom.flashlite) — более 1000 загрузок;
  • 계산기 (com.doubleline.calcul) — более 100 загрузок;
  • Flashlight+ (com.dev.imagevault) — более 100 загрузок.

После установки и запуска эти приложения действительно предоставляли пользователям заявленные функции, но также тайно загружали дополнительный код, связанный с рекламным мошенничеством.

Зараженные устройства получали сообщения через принадлежащую Google платформу Firebase Cloud Messaging, в которых им приказывали открывать определенные страницы в фоновом режиме и переходить по ссылкам, искусственно накручивая клики нужным объявлениям.

«Это могло привести к интенсивному потреблению сетевого трафика и потреблению энергии без ведома пользователя, а также приносило прибыль злоумышленниками, стоящим за этим вредоносным ПО», — пишет эксперты.

Все вредоносные приложения поставлялись с библиотекой com.liveposting, которая запускала скрытые службы рекламной малвари. Также некоторые приложения поставлялись с дополнительной библиотекой com.click.cas, в которой основное внимание уделялось функциональности автоматических кликов. Чтобы скрыть подозрительное поведение, после установки вредоносные утилиты выжидали около часа перед запуском этих библиотек.

В настоящее время все перечисленные приложения уже удалены из Google Play.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии