Журналист издания BuzzFeed News Крейг Силвермен (Craig Silverman) и исследователи из Check Point обнаружили новую масштабную мошенническую кампанию. Через официальный магазин Google Play злоумышленники распространяли шесть приложений с внедренным в них кликером PreAMo, который без ведома пользователей открывал рекламные баннеры. Преступники наживались сразу на трех агентствах — Presage, AdMob и MoPub.

Эксперты известили Google о своей находке, и программы, содержащие PreAMo, удалили из магазина. Однако на момент удаления они уже были установлены в общей сложности более 100 млн раз. Самой популярной оказалась Selfie Camera — по оценке Check Point, ее скачали 57 млн человек. Также кликер нашли в следующих приложениях:

  • OmniCleaner — 48 млн установок;
  • RAMMaster — 24 млн установок;
  • SmartCooler — 12 млн установок;
  • TotalCleaner — 15 млн установок;
  • AIOFlashlight — 3,4 млн установок.

Все упомянутые приложения разработаны крупной китайской компанией DO Global. В Google Play по-прежнему присутствуют другие программы этого производителя. Представители магазина не уточняют, планируют ли они принимать в отношении DO Global в целом какие-либо меры. При этом стоит отметить, что большая часть кликеров скрывала свое происхождение и значилась в Google Play как продукция Pic Tools Group.

PreAMo состоит из трех частей, каждая из которых отвечает за работу с одним из трех рекламных агентств. Они заключены в независимые оболочки и реагируют на разные триггеры. Единственной точкой их пересечения служит командный сервер res[.]mnexuscdn[.]com, который получает от кликера данные и отправляет ему инструкции по настройке.

В зависимости от особенностей рекламных сетей PreAMo применяет тот или иной метод имитации кликов. В некоторых случаях для большей правдоподобности мошенники проверяют, не открывал ли пользователь целевой баннер сам, и используют случайные координаты.

Как установили исследователи, кликер срабатывает даже тогда, когда приложение закрыто. Это создает дополнительную нагрузку на аккумулятор устройства и мобильный трафик.

Кроме того, как отмечает Крейг Силвермен, такие вредоносы опасны невозможностью узнать, что происходит с собранными ими данными. Приложения со встроенными кликерами часто запрашивают множество разрешений, в том числе опасных. В частности, фонарику AIO Flashlight потребовался доступ к 31 функции смартфона, хотя для нормальной работы подобных программ нужно только право пользоваться вспышкой (доступ к камере).

Наиболее опасным оказалось самое популярное из шести приложений-кликеров. Исследователи из Method Media Intelligence в дополнение к находкам Check Point обнаружили в программе Selfie Camera функциональность, позволяющую зарабатывать на других приложениях. В аналогичном мошенничестве ранее уличили разработки компаний Cheetah Mobile и Kika Tech. Они отправляли в рекламные сети фейковые сведения о том, что новую программу пользователь установил по их ссылке.

Категории: Вредоносные программы