ИБ-специалисты нашли adware-зловред для Android, выдающий себя при этом за блокировщик рекламы. От атак приложения FakeAdsBlock пострадали как минимум 500 пользователей, однако, по мнению исследователей, кампания только набирает обороты.

Вредоносная программа распространяется под названием Ads Blocker через неавторизованные Android-репозитории. В процессе установки приложение запрашивает ряд разрешений, нехарактерных для программ блокировки рекламы. Например, зловред требует права на открытие VPN-соединения, показ сообщений поверх других окон и создание виджета на рабочем столе. Получив необходимые привилегии, приложение демонстрирует пользователю служебное сообщение, удаляет свою иконку и переходит в фоновый режим.

Как работает FakeAdsBlock

В арсенале FakeAdsBlock несколько вариантов демонстрации рекламы. Зловред может открывать свои окна во весь экран, запускать браузер с нужным сайтом, а также отправлять пользователю уведомления. Кроме того, приложение размещает на одном из рабочих столов прозрачный виджет, загружающий баннеры. Как отмечают ИБ-специалисты, после установки программа демонстрирует рекламные сообщения каждые пару минут.

Авторы FakeAdsBlock предусмотрели для него защитные механизмы: программа скрывает следы своего присутствия, и единственный индикатор ее работы — значок VPN-соединения в панели состояния. Зловред удаляет свое название и иконку из списка установленных приложений, отображаясь в нем как пустая строка.

Помимо фальшивого блокировщика рекламы, исследователи обнаружили код FakeAdsBlock в установочных комплектах с названиями фильмов. По мнению ИБ-аналитиков, это указывает на возможность распространения программы через нелегальные онлайн-кинотеатры.

Рекламные зловреды вроде FakeAdsBlock можно найти не только в сторонних хранилищах. Весной этого года специалисты обнаружили в Google Play полсотни приложений, демонстрировавших нежелательные объявления. Программы маскировались под фитнес-трекеры, музыкальные утилиты и графические редакторы, но сразу после установки показывали жертве полноэкранные баннеры.

Категории: Вредоносные программы