В результате анализа эксперты выявили особый скрытый характер вредоносного ПО. Как только пользователь загружает опасное приложение на свой телефон Android, ему даже не нужно его запускать. Вредоносная программа создает службы, которые работают в фоновом режиме. Приложение меняет свое имя и значок на панели приложений, чтобы имитировать такие приложения, как «Настройки» или «Google Play».
Затем на телефоне начинает постоянно показываться реклама.Судя по скриншотам, это полноэкранная реклама с различными кнопками, включая фальшивое предупреждение о том, что устройство находится в опасности. Таким способом создатели зловредов пытаются заставить пользователя загрузить другое приложение.
При детальном изучении угроз выяснилось, что создатели вредоносного ПО использовали рекламу в Facebook, которая содержала ссылку на магазин приложений Google Play, чтобы приложение выглядело подлинным. Данные McAfee показывают, что многие из этих приложений были загружены более 1 миллиона раз. Большинство этих пользователей были из Южной Кореи, Японии и Бразилии.
В исследовательском отчете объясняется, как работает вредоносное ПО. Угроза использует поставщика контактов (Сontact Provider), классы ContactsContract и Directory. Этот класс Directory содержит специальные метаданные в файле манифеста. Эти данные могут быть распознаны поставщиком контактов, который разработчики могут использовать для создания пользовательского каталога и для передачи данных между устройством и онлайн-сервисами.
Когда приложение устанавливается или заменяется, поставщик контактов проверяет его метаданные. Здесь хранится код вредоносного ПО HiddenAds, который запускается после установки/замены приложения. Благодаря этому, приложение создает вредоносный сервис для продвижения рекламы. Эта служба автоматически запускается, даже если она была принудительно завершена. Затем приложение маскируется путем переименования и изменения значка.
В Google Play очень популярны приложения для очистки системы и оптимизации аккумулятора. Большинство пользователей даже не подозревают, что многие такие приложения на самом деле не делают ничего полезного. Пользователи просто читают название и просматривают фальшивое описание, после чего скачивают приложение фактически вслепую.
Вредоносное ПО HiddenAds было обнаружено в следующих приложениях:
- Junk Cleaner
- EasyCleaner
- Power Doctor
- Super Clean
- Full Clean
- Fingertip Cleaner
- Quick Cleaner
- Keep Clean
- Windy Clean
- Carpet Clean
- Cool Clean
- Strong Clean
- Meteor Clean
Результатами исследования поделилась команда McAfee Mobile Research Team. Google уже успел удалить вредоносные приложения из Google Play.
Компания Apple недавно заявила, что вредоносное ПО представляет собой серьезную проблему для Android, и поэтому загрузка приложений из других источников опасна. На самом деле Apple пытается найти предлог, чтобы предотвратить потерю дохода от учетных записей разработчиков и 30% комиссионных. Хотя Android не является полностью безопасной системой, Google встроил в ОС некоторые барьеры, которые мешают загрузке приложений. Среднестатистический пользователь может даже не знать, что можно загружать приложения из других магазинов.
Самый большой источник вредоносных приложений для Android — это сам магазин приложений Google Play, потому что размещенные там приложения не проверяются должным образом, в результате большинство пользователей даже не подозревают, что загружают вредоносное приложение.
А вы когда-нибудь устанавливали фальшивые оптимизаторы на свой смартфон?
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России