В официальном магазине Google Play нашли 43 вредоносных приложения, в общей сложности установленных более 2,5 млн раз. Эти приложения тайно показывали рекламу на зараженных устройствах после отключения экрана.
Как сообщают специалисты McAfee, обнаружившие проблему, приложения в основном маскировались под решения стриминга и агрегаторы новостей (например, TV/DMB Player, Music Downloader, News и Calendar), преимущественно нацеливаясь на пользователей из Южной Кореи.
Хотя приложении представляли собой обычную adware, исследователи отмечают, что такие угрозы нельзя недооценивать, и они по-прежнему представляют опасность для пользователей. Так, рекламные вредоносы открывают двери для профилирования пользователей, приводят к ускоренной разрядке аккумуляторов зараженных устройств, а также потребляют немало трафика и, как правило, совершают мошенничество в отношении рекламодателей.
Также отмечается, что рекламные вредоносы нередко запрашивают разрешения на использование других приложений, которые обычно связаны с банковскими троянами, накладывающими фишинговые оверлеи поверх настоящих приложений банков. Однако в данном случае подобного поведения не наблюдалось.
По данным исследователей, после установки приложения выжидали несколько недель, прежде чем начать свою рекламную активность. Таким образом их разработчики старались обмануть пользователей, а также обойти проверки Google.
При этом настройки малвари можно было изменять удаленно, обновляя их через Firebase Storage или Messaging, поэтому операторы приложений могли регулировать период их бездействия и другие параметры.
Как известно, в Android существует функция энергосбережения, которая переводит приложения в режим ожидания, если устройство не используется, что предотвращает работу приложений в фоновом режиме, а также экономит трафик, ресурсы процессора и памяти.
Чтобы обойти эти ограничения, вредоносные приложения предлагали жертвам добавить их в список исключений после установки, что позволяло им работать в фоновом режиме, показывая и загружая рекламу даже в том случае, если экран устройства отключен.
Аналитики отмечают, что пользователи могли мельком увидеть загруженную рекламу при включении экрана устройства, прежде чем та успевала автоматически закрыться. Но основным признаком компрометации устройств все же оставался необъяснимо высокий расход заряда батареи во время простоя.
Так как исследователи уведомили о своей находке инженеров Google, в настоящее время все рекламные приложения уже удалены из Google Play.
