Prawie 200 aplikacji dla Androida wyświetlało uciążliwe reklamy

W Google Play czaiły się złośliwe aplikacje, wyświetlających reklamę na pełnym ekranie smartfona. Były częścią dużej kampanii typu adware. Działały przynajmniej przez pół roku.

Prawie 200 aplikacji dla Androida wyświetlało uciążliwe reklamy
Prawie 200 aplikacji dla Androida wyświetlało uciążliwe reklamy

02.07.2019 15:45

Kilkadziesiąt milionów pobrań

Aplikacje znajdowały się w różnych sklepach z aplikacjami. W sumie specjaliści z Trend Micro znaleźli 182 aplikacje, należące do tej samej kampanii. Większość z nich trafiła do Google Play – specjaliści z TrendMicro znaleźli tam 111 aplikacji. 8 z nich zostało zainstalowanych ponad 9 milionów razy, zanim znikły ze sklepu Google'a. Z samego Google Play zostały więc pobrane jakieś 80 mln razy, statystyk z innych sklepów nie znamy.

Dobry kamuflaż

Szkodliwe aplikacje były dobrze zamaskowane. Z zewnątrz wyglądały jak narzędzia fotograficzne lub gry, czyli najczęściej pobierane aplikacje dla Androida. Co więcej, aplikacje spełniały swoje zadanie przez przynajmniej pół godziny, by uśpić czujność użytkownika. Szkodliwy kod był uruchamiany dopiero po tym czasie. Gdy już ruszył, na ekranie smartfona wyświetlał pełnoekranowe reklamy, których nie da się szybko zamknąć. Reklama pojawiała się natychmiast po odblokowaniu urządzenia. Kolejne były wyświetlane cyklicznie, nawet co 5 minut.

Analitycy odkryli, że 30-minutowy „włącznik czasowy” był obecny we wczesnych wersjach aplikacji, numerowanych od 1.0.0 do 1.0.2. Usunięcie aplikacji było utrudniane, gdyż ich ikony były ukryte.

Kolejne wersje przedłużyły czas uśpienia szkodliwego skryptu do 24 godzin. W ten sposób oszuści zagwarantowali sobie, że aplikacja zostanie dłużej na smartfonie ofiary, gdyby ukryta ikona nie wystarczyła. Zwiększyli też szansę na pozytywną ocenę w sklepie, wystawioną przez prawdziwego użytkownika. Ten zabieg pomagał też oszukać oprogramowanie zabezpieczające, jeśli było zainstalowane na smartfonie.

W nowszych wersjach aplikacji dodana została też komunikacja z serwerem C&C (Command & Controll).

To nie jest nowa kampania

Analizując pakiety aplikacji, specjaliści znaleźli ślady początków kampanii. Była prowadzona przynajmniej pół roku, prawdopodobnie dłużej.

Trend Micro powiadomił Google. Tych aplikacji nie ma już w Google Play, ale na pewno są obecne w mniej restrykcyjnych sklepach. Takich kampanii nie brakuje

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (42)