«Доктор Веб»: Android-троянец из Google Play зарабатывает для вирусописателей при помощи невидимой рекламы
Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play приложения со встроенным троянцем Android.RemoteCode.152.origin, скачанные в сумме более 6 500 000 раз. Эта вредоносная программа незаметно скачивает и запускает дополнительные модули, среди которых есть рекламные плагины. С их помощью троянец загружает невидимые объявления и нажимает на них, за что злоумышленники получают вознаграждение.
Android.RemoteCode.152.origin – новая версия троянца Android.RemoteCode.106.origin, известного с 2017 года, компания «Доктор Веб» рассказывала о нем в ноябре. Эта вредоносная программа представляла собой программный модуль, который разработчики ПО встраивали в свои приложения и распространяли через каталог Google Play. Основная функция Android.RemoteCode.106.origin – незаметное скачивание и запуск вспомогательных плагинов, предназначенных для загрузки веб-страниц с рекламой и нажатия на расположенные на них баннеры. Новая версия троянца выполняет аналогичные действия.
После первого запуска приложения, в которое встроен троянец, Android.RemoteCode.152.origin автоматически начинает работу через определенные интервалы времени и самостоятельно запускается после каждой перезагрузки устройства. Таким образом, для его работы не требуется, чтобы владелец мобильного устройства постоянно использовал зараженное приложение.
При старте вредоносная программа загружает с управляющего сервера и запускает один из троянских модулей, который был добавлен в вирусную базу Dr.Web как Android.Click.249.origin. В свою очередь, этот компонент скачивает и запускает еще один модуль, основанный на рекламной платформе MobFox SDK. Она предназначена для монетизации приложений. С ее помощью троянец незаметно создает различные рекламные объявления и баннеры, после чего самостоятельно нажимает на них, зарабатывая деньги для киберпреступников. Кроме того, Android.RemoteCode.152.origin поддерживает работу с мобильной маркетинговой сетью AppLovin, через которую также загружает рекламные объявления для получения дополнительного дохода.
Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько приложений, в которые был встроен этот троянец. Все они представляют собой различные игры, суммарное число загрузок которых превысило 6 500 000. Специалисты «Доктор Веб» передали в корпорацию Google информацию о найденных программах, и на момент публикации этой новости часть из них была успешно удалена из каталога. При этом некоторые приложения получили обновления, в которых вредоносный модуль уже отсутствует.
Android.RemoteCode.152.origin был обнаружен в следующих программах:
Beauty Salon — Dress Up Game, версия 5.0.8;
Fashion Story — Dress Up Game, версия 5.0.0;
Princess Salon — Dress Up Sophie, версия 5.0.1;
Horror game — Scary movie quest, версия 1.9;
Escape from the terrible dead, версия 1.9.15;
Home Rat simulator, версия 2.0.5;
Street Fashion Girls — Dress Up Game, версия 6.07;
Unicorn Coloring Book, версия 134.
Кроме того, при дальнейшем анализе специалисты «Доктор Веб» выявили троянца еще в нескольких приложениях, которые ранее уже были удалены из каталога:
Subwater Subnautica, версия 1.7;
Quiet, Death!, версия 1.1;
Simulator Survival, версия 0.7;
Five Nigts Survive at Freddy Pizzeria Simulator, версия 12;
Hello Evil Neighbor 3D, версия 2.24;
The Spire for Slay, версия 1.0;
Jumping Beasts of Gang, версия 1.9;
Deep Survival, версия 1.12;
Lost in the Forest, версия 1.7;
Happy Neighbor Wheels, версия 1.41;
Subwater Survival Simulator, версия 1.15;
Animal Beasts, версия 1.20.
Чтобы снизить вероятность заражения мобильных устройств вредоносными и нежелательными программами, специалисты компании «Доктор Веб» рекомендуют устанавливать приложения только от известных и проверенных разработчиков. Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют все известные модификации описанных в этом материале троянцев, поэтому для наших пользователей они опасности не представляют.
Тогда можно поддержать её лайком в соцсетях. На новости сайта вы ведь уже подписались? ;)
Или хотя бы оставить довольный комментарий, чтобы мы знали, какие темы наиболее интересны читателям. Кроме того, нас это вдохновляет. Форма комментариев ниже.
Что с ней так? Своё негодование вы можете высказать на zelebb@gmail.com или в комментариях. Мы постараемся учесть ваше пожелание в будущем, чтобы улучшить качество материалов сайта. А сейчас проведём воспитательную работу с автором.
Если вам интересны новости мира ИТ так же сильно, как нам, подписывайтесь на Telegram-канал. Там все материалы появляются максимально оперативно. Или, может быть, удобнее "Вконтакте"?
Поговорить?
Читайте нас где удобно
Ещё на эту тему было
- Исследование способа взлома по звуку клавиш. Шумная обстановка не поможет
- Интим-игрушки могут заражать ваш ПК вирусами
- Microsoft Defender, Kaspersky и McAfee потеряли в качестве и уступили конкурентам
- Какие пароли используют селебрити: их тоже уже взломали
- Внимание: арендные самокаты под атакой мошенников
- Почему сегодня всем важно установить пин-код на SIM-карту?
- ИИ взламывает пароли и делает это очень быстро. Но есть спасение
- Свежая статистика: какие типы файлов чаще скрывают вредоносные программы
- Стоит ли заклеивать веб-камеру на своем ПК?
- Энтузиаст сравнил браузеры Firefox, Chrome и Edge по безопасности
Для тех, кто долистал
Ай-ти шуточка бонусом. Каждый разговор по телефону на Android начинается со слов: "быстрее, у меня телефон садится".
