Исследователи «ДокторВеб» обнаружили подозрительный код в приложении Love Spouse для управления игрушками для взрослых, которое было загружено из магазина Google Play. Оказалось, приложение содержит троян-кликер, незаметно открывающий рекламные сайты и кликающий по страницам. Такой вредонос может использоваться для скрытого показа рекламы, «накрутки» переходов по ссылкам, оформления платных подписок и DDoS-атак.
Обнаруженный в составе Love Spouse троян получил идентификатор Android.Click.414.origin и маскировался под компонент для сбора отладочной информации (библиотеку com.android.logcatch).
Помимо приложения Love Spouse, этот же вредонос был выявлен в приложении QRunning для отслеживания физической активности. Отмечается, что оба приложения выпущены китайскими разработчиками и были довольно популярны: суммарно они установлены более чем на 1,5 млн устройств.
Исследователи пишут, что внедрение вредоносного кода, судя по всему, произошло недавно, в нескольких последних релизах. Причем к настоящему моменту разработчик Love Spouse уже обновил свое приложение: начиная с версии 1.8.8 оно больше не содержит троян. Обновлений QRunning пока не выходило.
По данным компании, обнаруженная малварь является модификацией другого трояна, который попал в поле зрения исследователей в апреле прошлого года. Тогда в «ДокторВеб» поступил запрос от пользователя, чей антивирус обнаружил появление нового файла в системной области ТВ-приставки V88mini. Это оказался загрузчик трояна Android.Click.410.origin.
Информация о том, как именно произошло заражение приставки, отсутствуют. Однако выяснилось, что ОС, установленная на устройстве, была не тем, за что пыталась себя выдавать. Так, в карточке товара был заявлен Android 12, и именно эта ОС отображалась в сведениях о системе. Однако значение Build ID, которое является уникальным идентификатором сборки ОС, соответствовало Android 7.
В компании отмечают, что такая ситуация типична для бюджетных ТВ-приставок. Лишним подтверждением этого стал похожий запрос от другого пользователя, который тоже столкнулся с трояном Android.Click.410.origin, и на его приставке X96Q тоже обнаружилась другая версия Android.
Что касается кликера Android.Click.414.origin, троян имеет модульную структуру. Один из модулей предназначен для получения информации об устройстве, а два других выполняют скрытую загрузку страниц, загружают рекламу и кликают по ней.
Также малварь способна определять факт запуска основного приложения в контролируемом окружении, о чем сообщает своему управляющему серверу. Примечательно и то, что троян работает избирательно и даже не запускается на устройствах, если языком интерфейса выбран китайский.
В случае успешного запуска вредонос передает на свой управляющий сервер подробные сведения об устройстве (бренд, модель, версия ОС, IP-адрес, регион, выбранный в настройках, код оператора мобильной сети и так далее), а также активирует одну или несколько стратегий своей работы.
Так, троян незаметно для пользователя загружает сайты используя WebView, умеет прокручивать содержимое страниц, вводить текст в формы, отключать звук воспроизведения в тех случаях, если открываемые им сайты проигрывают аудио или видео. Для совершения этих действий вредонос выполняет полученный от сервера JavaScript-код в WebView с загруженным целевым сайтом.
Кроме того, троян может делать скриншоты отображаемого сайта и передавать их на свой сервер, анализировать их попиксельно и в соответствии с результатом анализа определять области для кликов уже в самом WebView. В некоторых задачах троян использует Bing, Yahoo и Google для выдачи рекламных ссылок по ключевым словам.
Изначально эта малварь детектировалось только в приложениях, доступных в неофициальных магазинах приложений для Android, но в феврале 2024 года проникла и в официальный Google Play Store.