Программа Advanced Battery Saver для мобильных устройств под управлением Android имеет бэкдор для несанкционированного показа рекламы и кражи данных. К такому выводу пришли ИБ-эксперты RisklQ после расследования вредоносной кампании, затронувшей около 60 тыс. пользователей.

На след зловреда исследователей навело подозрительное сообщение на одном из сайтов. Реклама призывала решить проблемы с производительностью телефона и быстрой разрядкой батареи. Для этого пользователю предлагалось установить приложение для очистки памяти и управления работой аккумулятора. Объявление перенаправляло жертву на страницу программы Advanced Battery Saver в Google Play.

После установки на мобильное устройство программа действительно предпринимает некоторые действия для уменьшения расходования заряда батареи. Приложение понижает напряжение аккумулятора и останавливает энергоемкие процессы, однако этим полезные свойства утилиты исчерпываются.

Вредоносный функционал приложения гораздо богаче. Еще на этапе установки программа запрашивает широкий список привилегий, среди которых:

  • чтение информации из журнала устройства
  • получение SMS
  • получение данных из Интернета
  • связь с Bluetooth-устройствами
  • полный доступ к сети
  • изменение системных настроек

Полученные разрешения приложение использует, чтобы показывать жертве рекламу, а также передавать злоумышленникам конфиденциальные данные. Программа связывается с командным сервером для регистрации в системе, показа всплывающих объявлений и обновления демонстрируемого контента.

Помимо этого, в распоряжении киберпреступников оказывается IMEI устройства, список контактов, сведения о геолокации жертвы и другие персональные данные.

Проведенное расследование показало, что в Google Play ранее была еще одна программа того же автора. В данный момент она уже удалена из магазина, а ее вариант, найденный экспертами, не содержит никакой криминальной нагрузки. Возможно, мошенники планировали добавить вредоносный код позже, когда приложение получит положительные отзывы пользователей.

Специалисты проанализировали счетчики регистраций в рекламной сети с принадлежащего киберпреступникам аккаунта и сделали вывод, что жертвами Advanced Battery Saver стали около 60 тыс. человек. Оказалось также, что мошенникам принадлежит ряд доменных имен, связанных с другими мобильными зловредами.

Google Play ведет постоянную борьбу с авторами рекламных приложений. В конце марта 2018 года платформа удалила 22 программы, зараженные вредоносным кодом HiddnAd и Guerilla. А в январе отказалась от распространения ряда проектов, содержавших adware-компонент LightsOut.

Категории: Вредоносные программы, Мошенничество