«Доктор Веб» рассекретил, как Android-троянец из Google Play зарабатывает при помощи невидимой рекламы

Аналитиками антивирусной корпорации “Dr.Web” было выявлено очередное уязвимое место Google Play. На этот раз в каталоге оказались программы, зараженные вирусом Android.RemoteCode.152.Origin. Масштабы скачиваний оказались беспрецедентными – порядка 6,5 миллионов раз. Цель этого вируса – незаметно устанавливать модули, ответственные за скачивание невидимых рекламных объявлений и переход по даным ссылкам. Мошенники получают за это деньги.

Android.RemoteCode.152.Origin – обновление вируса Android.RemoteCode.106.Origin. Впервые “Dr.Web” сообщил о нем в ноябре 2017 года. Данный троянец нес в себе программный модуль, который недобросовестные разработчики встраивали в свои приложения и добавляли в Google Play. Android.RemoteCode.106.Origin был предназначаен для скрытой загрузки и установки плагинов, ответственных за переход на страницы с рекламой и нажатие на закрепленные там объявления. Существующая на сегодняшний день версия делает все то же самое.

Как только зараженная программа впервые запускается, Android.RemoteCode.152.Origin начинает работать с определенными временными промежутками. При перезагрузке девайса он самостоятельно запускается заново, следовательно, для работы троянца не требуется непосредственное использование жертвой приложения.

Для начала вирус скачивает с управляющего сервера троянский модуль, существующий в базе данных “Доктор Веб” под именем Android.Click.249.Origin. Уже этот элемент загружает и включает модуль, базирующийся на платформе MobFox SDK. Она монетизирует различные программы. С её помощью вирус генерирует рекламные окна, нажимает на них и таким образом обогащает мошенников. Помимо прочего, Android.RemoteCode.152.Origin работает в кооперации с маркетинговой сетью AppLovin. Она также используется для перехода на страницы с рекламой и получения прибыли.

Специалисты по обнаружению и борьбе с вирусами корпорации “Dr.Web” составили список приложений из Google Play, которые были заражены данным троянцем. Все они являются играми, чем и объясняется огромное количество скачиваний (в сумме оно превышает 6,5 миллионов раз). Информация была передана Google аналитиками “Доктор Веб”, и вскоре были приняты меры по локализации и уничтожению вируса. Некоторые приложения были удалены из каталога, а некоторые – пропатчены и обновлены до версии, в которой вирусного компонента уже нет.

Вирусом Android.RemoteCode.152.origin были заражены нижеследующие приложения:

  1. Beauty Salon – Dress Up Game, версия 5.0.8;
  2. Fashion Story – Dress Up Game, версия 5.0.0;
  3. Princess Salon – Dress Up Sophie, версия 5.0.1;
  4. Horror game – Scary movie quest, версия 1.9;
  5. Escape from the terrible dead, версия 1.9.15;
  6. Home Rat simulator, версия 2.0.5;
  7. Street Fashion Girls – Dress Up Game, версия 6.07;
  8. Unicorn Coloring Book, версия 134.

Помимо прочего, при детальном изучении аналитиками “Dr.Web” было обнаружено наличие вируса в программах, уже удаленных из Google Play:

  1. Subwater Subnautica, версия 1.7;
  2. Quiet, Death!, версия 1.1;
  3. Simulator Survival, версия 0.7;
  4. Five Nigts Survive at Freddy Pizzeria Simulator, версия 12;
  5. Hello Evil Neighbor 3D, версия 2.24;
  6. The Spire for Slay, версия 1.0;
  7. Jumping Beasts of Gang, версия 1.9;
  8. Deep Survival, версия 1.12;
  9. Lost in the Forest, версия 1.7;
  10. Happy Neighbor Wheels, версия 1.41;
  11. Subwater Survival Simulator, версия 1.15;
  12. Animal Beasts, версия 1.20.

Для минимизации риска заражения устройства различными вирусами, аналитики “Dr.Web” советуют загружать только программы, выпущенные надежными и зарекомендовавшими себя разработчиками. Антивирусные программы компании “Доктор Веб” для операционной системы Android с легкостью распознают и нейтрализуют все существующие вариации троянцев, упомянутых в этой статье. Именно поэтому девайсы наших пользователей находятся в полной безопасности от данных вирусов.

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.