Рекламное ПО атакует русских пользователей и не ограничивается рекламой

Исследователи Palo Alto Networks обнаружили ряд Android-приложений, на первый взгляд ничем не отличающихся от легитимных, но оснащенных рекламным ПО. Как показал анализ, рекламное ПО обладает куда большим функционалом, чем просто способностью отображать рекламу.

Речь идет о вредоносе Ewind, распространяющемся в связке с популярным играми, приложениями социальных сетей и антивирусами, такими как GTA Vice City, Minecraft – Pocket Edition, «ВКонтакте», AVG и Avast! Ransomware Removal. Все они доступны для загрузки в популярных у русскоговорящих пользователей магазинах Android-приложений.

Как пояснили эксперты Palo Alto Networks, Ewind является рекламным ПО, приносящим доход за счет отображения рекламы на устройствах пользователей. Тем не менее, оно также способно собирать данные с устройства, загружать APK и создавать для них короткие ссылки, открывать URL (как в обычном, так и в фоновом режиме), пересылать SMS-сообщения атакующим, а также потенциально предоставлять им удаленный доступ к устройству.

По мнению исследователей, авторами Ewind являются владельцы распространяющих его магазинов приложений, имеющие русское происхождение. Все программы со встроенным вредоносом подписаны одним и тем же подозрительным цифровым сертификатом, а C&C-серверы, к которым подключается Ewind, находятся в том же диапазоне IP-адресов /16, откуда он был загружен.