Семейство зловредов в Google Play обнаружили эксперты Trend Micro. На момент публикации у 85 приложений с навязчивыми объявлениями насчитывалось 9 млн загрузок от пользователей по всему миру.

Вредоносы маскировались под мобильные игры, стриминговые сервисы и средства управления умными телевизорами. В их описании были указаны разные разработчики и сертификационные ключи. Тем не менее, анализ кода позволил специалистам выявить общие для всех приложений черты. Все они умели показывать навязчивую рекламу, скрывать свою активность от жертв и отслеживать разблокировку экрана.

Самой скачиваемой оказалась зараженная Android-программа Easy Universal TV Remote — она собрала 5 млн загрузок. Недовольные пользователи заполнили жалобами страницу комментариев, однако многие жертвы жаловались только на то, что приложение пропадает с экрана после установки.

На самом деле к моменту исчезновения зловред успевает несколько раз выполнить свою основную задачу — показать пользователю полноэкранный баннер. Первое окно с объявлением всплывает при запуске приложения, а когда пользователь закрывает рекламу, на экране появляются несколько кнопок, например «начать» или «открыть приложение», и каждая из них вызывает новый баннер.

Подобный сценарий повторяется еще два раза — рекламное ПО предлагает жертве поставить оценку на Google Play или выполнить еще какие-то действия в соответствии с мнимым предназначением приложения. Вне зависимости от контекста  после каждого клика по экрану появляется реклама.

После этого программа сообщает о начале «буферизации» или «загрузки» и через несколько секунд пропадает с экрана. На самом деле она переходит в фоновый режим, в котором показывает баннеры с периодичностью в 15–30 минут. Некоторые представители семейства умеют запускать рекламу и при каждой разблокировке экрана.

В любой момент пользователи могут вручную удалить вредонос со своего устройства. В официальном магазине Android нежелательные приложения уже заблокировали.

Модераторы Google Play регулярно удаляют из репозитория подозрительные приложения. В ноябре представители компании сообщили, что на сторонних сайтах опасное ПО встречается в 9 раз чаще, чем в официальном магазине. Для противодействия вирусописателям администраторы ограничивают потенциально опасные возможности программ, запрещая им доступ к звонкам и применение специальных возможностей.

Категории: Вредоносные программы