"Доктор Веб": Android-троянец из Google Play зарабатывал для вирусописателей при помощи невидимой рекламы

"Доктор Веб": Android-троянец из Google Play зарабатывал для вирусописателей при помощи невидимой рекламы

Специалисты компании "Доктор Веб" обнаружили в каталоге Google Play приложения со встроенным троянцем Android.RemoteCode.152.origin, скачанные в сумме более 6 500 000 раз. Эта вредоносная программа незаметно скачивает и запускает дополнительные модули, среди которых есть рекламные плагины. С их помощью троянец загружает невидимые объявления и нажимает на них, за что злоумышленники получают вознаграждение.

Android.RemoteCode.152.origin – новая версия троянца Android.RemoteCode.106.origin, известного с 2017 года, компания "Доктор Веб" рассказывала о нем в ноябре. Эта вредоносная программа представляла собой программный модуль, который разработчики ПО встраивали в свои приложения и распространяли через каталог Google Play. Основная функция Android.RemoteCode.106.origin – незаметное скачивание и запуск вспомогательных плагинов, предназначенных для загрузки веб-страниц с рекламой и нажатия на расположенные на них баннеры. Новая версия троянца выполняет аналогичные действия.

После первого запуска приложения, в которое встроен троянец, Android.RemoteCode.152.origin автоматически начинает работу через определенные интервалы времени и самостоятельно запускается после каждой перезагрузки устройства. Таким образом, для его работы не требуется, чтобы владелец мобильного устройства постоянно использовал зараженное приложение.

При старте вредоносная программа загружает с управляющего сервера и запускает один из троянских модулей, который был добавлен в вирусную базу Dr.Web как Android.Click.249.origin. В свою очередь, этот компонент скачивает и запускает еще один модуль, основанный на рекламной платформе MobFox SDK. Она предназначена для монетизации приложений. С ее помощью троянец незаметно создает различные рекламные объявления и баннеры, после чего самостоятельно нажимает на них, зарабатывая деньги для киберпреступников. Кроме того, Android.RemoteCode.152.origin поддерживает работу с мобильной маркетинговой сетью AppLovin, через которую также загружает рекламные объявления для получения дополнительного дохода.

Вирусные аналитики компании "Доктор Веб" обнаружили в каталоге Google Play несколько приложений, в которые был встроен этот троянец. Все они представляют собой различные игры, суммарное число загрузок которых превысило 6 500 000. Специалисты "Доктор Веб" передали в корпорацию Google информацию о найденных программах, и на момент публикации этой новости часть из них была успешно удалена из каталога. При этом некоторые приложения получили обновления, в которых вредоносный модуль уже отсутствует.

Android.RemoteCode.152.origin был обнаружен в следующих программах:

• Beauty Salon - Dress Up Game, версия 5.0.8;

• Fashion Story - Dress Up Game, версия 5.0.0;

• Princess Salon - Dress Up Sophie, версия 5.0.1;

• Horror game - Scary movie quest, версия 1.9;

• Escape from the terrible dead, версия 1.9.15;

• Home Rat simulator, версия 2.0.5;

• Street Fashion Girls - Dress Up Game, версия 6.07;

• Unicorn Coloring Book, версия 134.

Кроме того, при дальнейшем анализе специалисты "Доктор Веб" выявили троянца еще в нескольких приложениях, которые ранее уже были удалены из каталога:

• Subwater Subnautica, версия 1.7;

• Quiet, Death!, версия 1.1;

• Simulator Survival, версия 0.7;

• Five Nigts Survive at Freddy Pizzeria Simulator, версия 12;

• Hello Evil Neighbor 3D, версия 2.24;

• The Spire for Slay, версия 1.0;

• Jumping Beasts of Gang, версия 1.9;

• Deep Survival, версия 1.12;

• Lost in the Forest, версия 1.7;

• Happy Neighbor Wheels, версия 1.41;

• Subwater Survival Simulator, версия 1.15;

• Animal Beasts, версия 1.20.

Чтобы снизить вероятность заражения мобильных устройств вредоносными и нежелательными программами, специалисты компании "Доктор Веб" рекомендуют устанавливать приложения только от известных и проверенных разработчиков.