Поделиться
Более 350 приложений из Google Play донимали пользователей мошеннической рекламой
Старая кампания по накрутке рекламных показов стала злее и назойливее. В ней были задействованы несколько сотен приложений. Сейчас их удалили, но они гарантированно появятся снова.
Миллиарды накруток
В экосистеме Android нейтрализована - полностью или частично - масштабная вредоносная кампания, связанная с мошенничеством. В общей сложности экспертам компании HUMAN удалось выявить 352 приложения с мошеннической «начинкой», которые осуществляли демонстрацию конечным пользователям рекламы вне всякого контекста, накручивая показы. На пике активности кампании, названной IconAds, накрутки достигали 1,2 млрд показов в день. Большая часть трафика исходила из Бразилии, Мексики и США.
Иконки мошеннических приложений удалялись с дисплеев атакованных смартфонов, поэтому их удаление составляло серьезную проблему для конечных пользователей.
Другие вендоры отслеживают ту же кампанию под названиями HiddenAds и Vapor. Связанные с ней вредоносные приложения каким-то образом проскальзывают в Google Play с 2019 г.
«По-видимому, речь идет о мошенниках, которые вкладывают много сил и средств в разведку новых способов обхода защитных средств Google Play», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Вряд ли кто-то осмелится утверждать, что эта защита не соответствует стандартам, но, как говорится, кто ищет, тот всегда найдет. Вредоносные компоненты подгружаются в такие приложения не сразу, а поэтапно, и каждый по отдельности элемент может быть сам по себе безвредным - до активации и комбинирования».
Рекламу вредоносные приложения демонстрируют постоянно, вне зависимости от контекста или работающего приложения, перекрывая экран.
Но всегда возвращаюсь
Код всех приложений замаскирован (обфусцирован), кроме того, он используют одну и ту же номенклатуру для обозначения доменов контрольных серверов, и способны подменять штатные процедуры MAIN/LAUNCHER в системе, объявляя псевдоним: когда приложение устанавливается, на экране выводится его штатное название и иконка. Но как только приложение оказывается запущенным, активируется псевдоним, и иконка и название исчезают из поля видимости, так что для удаления назойливого источника непрошенной рекламы требуется влезать глубоко в систему.
Некоторые варианты приложений IconAds пытаются выдавать себя за сам магазин Google Play или использовать иконки и названия, характерные для разработок Google, вместо того, чтобы прятать свои обычные идентификаторы.
Плюс к этому некоторые новые версии приложений содержат средства проверки источника установки (что довольно странно) и дополнительные слои обфускации.
К настоящему моменту все эти приложения удалены из Google Play. Однако и их предшественников регулярной вычищали из магазина, но они всякий раз возвращались под новыми личинами.
Поделиться
Короткая ссылка
