Международная антивирусная компания ESET обнаружила в Google Play продолжительную вредоносную кибератаку, жертвами которой стали миллионы пользователей Android. Об этом говорится в пресс-релизе компании.
– Мы обнаружили 42 приложения в магазине Google Play, которые относятся к данной кампании по распространению нежелательного рекламного ПО; половина из них все еще была доступна на момент обнаружения. Отвечающая за безопасность команда из Google удалила эти приложения после нашего уведомления, но они все еще доступны в сторонних магазинах, – сообщает Лукас Стефанко, эксперт по безопасности ESET.
Приложения предоставляют обещанные возможности – простые игры, онлайн-радио, загрузку видеороликов, – но также работают как рекламное ПО, с общим для всех функционалом. Суммарно эти вредоносные приложения загрузили 8 млн раз за последний год.
Приложения используют различные трюки для того, чтобы попасть на устройства жертв и остаться незамеченными: например, не показывают рекламу до тех пор, пока девайс не будет разблокирован. Если пользователь попытается выяснить, какое приложение запускает показ рекламы, то программа будет выдавать себя за Facebook или Google.
– Рекламное ПО притворяется одним из этих двух приложений, чтобы не вызвать подозрений и остаться на зараженном устройстве как можно дольше, – объясняет Стефанко.
Также интересно то, как семейство Ashas прячет свой код под именем библиотеки com.google.xxx.
– Притворившись частью легитимного сервиса Google, приложение стремится избежать тщательной проверки. Некоторые механизмы обнаружения могут вносить подобные библиотеки в белый список ради экономии ресурсов, – говорит Лукас Стефанко.
В процессе анализа приложений эксперты ESET заметили, что создатель вредоносного ПО оставил множество следов. Исследователи отследили разработчика при помощи информации из открытых источников. Он оказался оператором кампании и владельцем командного сервера.
– Установление личности разработчика – побочный эффект нашей работы по выявлению вредоносного ПО, – говорит Лукас.