Уже долгое время рекламные сети являются ключевым компонентом экосистемы зловредов и киберпреступлений, и их роль становится все более и более изощренной. Это недавно продемонстрировали на конференции Black Hat исследователи из WhiteHat Security. Теперь проблема проявилась и в мобильном секторе. Сотрудники Palo Alto Networks обнаружили новый штамм зловреда, который устанавливается с легитимными Android-приложениями и незаметно подключается к мобильным рекламным сетям, списывая деньги со счета жертвы.

Концепция зловреда, цепляющегося к легитимным мобильным приложениям, не является чем-то новым. Было уже несколько случаев, когда атакующие компрометировали приложения в Google Play и вставляли вредоносный код в установочный файл. Но эта атака использует новую технику, начиная с установки приложения на Android-смартфон. Приложение само по себе может быть легитимным или зловредным, но в нем будет содержаться некий код, который после установки приложения подключится к рекламной сети. Множество приложений содержат подобный код, который служит для получения вполне законной прибыли от рекламы, но в данном случае приложения подключаются к зловредным рекламным сетям. Как только соединение установлено, приложение будет ожидать, пока пользователь не попробует установить другое приложение, и в этот момент появится дополнительное диалоговое окно с запросом разрешения на установку некоего дополнительного кода.

И этот код уже несет в себе опасность. Вредоносный код немедленно захватывает управление SMS-приложением и использует его как для получения команд от своего сервера, так и для подписки жертвы на сервисы определенных премиум-номеров. Как сказал Вэйд Вильямсон, старший аналитик по безопасности в Пало-Альто, самое интересное в этой атаке то, что атакующий может использовать легитимную рекламную сеть, которая уже подключена к группе приложений, и в любой момент переключаться на использование зловредной сети.

«Это очень похоже на отслеживание ботнета. По своему устройству рекламные сети во многом похожи на настоящие ботнеты, — сказал Вильямсон. — И это очень коварно, учитывая, как работают мобильные рекламные сети. Обычно вам необходимо установить SDK рекламной сети в само приложение. Приложение может быть «хорошим» или «плохим», но оно подключается к зловредной рекламной сети и незаметно скачивает оттуда APK, который может быть запущен, не будучи инсталлирован, и этого вполне достаточно для осуществления вредоносных действий».

Новая атака, которая встретилась Вильямсону уже семь раз, пришла из Азии. В Пало-Альто обнаружили сэмплы, атакующие некоторые особые сайты, которые компания открыла в Азии как раз для привлечения зловредов. Вильямсон заявил, что тут могут быть замешаны некоторые рекламные сети, но уверенности в этом пока нет. Ясно одно — атакующие становятся все более креативными и развивают свои технологии параллельно усилению защитных средств.

«С этой атакой вы можете весьма быстро делать деньги. Если у вас есть предварительно развернутый ботнет в качестве механизма распространения, вы можете начать доить пользователей на небольшие суммы, пропажу которых они могут и не заметить», — сказал Вильямсон.

Категории: Вредоносные программы, Мошенничество