Из магазина приложений Google Play было удалено не менее 85 поддельных приложений с рекламным ПО, замаскированных под игры, приложения-симуляторы дистанционного управления и другие приложения.
Во вторник исследователи из Trend Micro заявили, что они обнаружили активное семейство рекламного ПО в поддельных приложениях в магазине Google Play, которое было скачано 9 миллионов раз по всему миру. После загрузки поддельные приложения прячутся на устройстве жертвы и продолжают показывать полноэкранное объявление каждые 15 минут.
«Это рекламное ПО способно отображать полноэкранные рекламные объявления, скрывать себя, отслеживать функциональность разблокировки экрана устройства и работать на фоне мобильного устройства», — сказал в отчете инженер по реагированию на угрозы в компании Trend Micro Экула Сю. «После проверки нашего отчета Google быстро заблокировал поддельные приложения в магазине Play».
Google не ответил на запрос комментариев от Threatpost.
После закрытия первоначального объявления поддельное приложение будет отображать такие подсказки, как «Пуск», «Открыть приложение» или «Далее», но нажатие на эти кнопки вызывает еще одно полноэкранное объявление.
Затем приложение информирует пользователя о том, что оно загружается или буферизуется, но затем исчезает с экрана телефона и скрывает значок приложений на устройстве. Исследователи сказали, что поддельное приложение все еще работает в фоновом режиме устройства после его скрытия и настроено на постоянное отображение рекламы на устройстве пользователя.
Пример полноэкранного объявления
Некоторые поддельные приложения демонстрируют еще более хитрое поведение, когда они отслеживают действия жертвы и показывают рекламу каждый раз, когда пользователь открывает экран мобильного устройства, утверждают исследователи.
Эти приложения могут сделать это, зарегистрировав «модуль приемника… в AndroidManifest.xml, чтобы каждый раз, когда пользователь разблокировал устройство, он запускал полноэкранное объявление», — говорит Сюй.
Несмотря на то, что они принадлежат разным компаниям, поддельные приложения, похоже, имеют схожее поведение и используют один и тот же код, что указывает на то, что рекламное ПО относится к одному семейству: «Мы протестировали каждое из поддельных приложений, связанных с семейством рекламного ПО, и обнаружили, что что, хотя они принадлежат разным производителям и имеют разные открытые ключи сертификата APK, они демонстрируют схожее поведение и используют один и тот же код », — сказали они.
Одним из самых загружаемых приложений, содержащих рекламное ПО, является «Easy Universal TV Remote», который говорит, что он позволяет пользователям управлять своими телевизорами с помощью своих смартфонов. Приложение, предложенное фирмой под названием «Big Fishes», было загружено более 5 миллионов раз.
Отрицательные оценки в разделе обзора приложения в Google Play выдавали подозрительные подсказки о том, что приложение было рекламным, включая заявления о том, что оно вызывало сбой телефонов и исчезало после загрузки.
Чтобы удалить поддельные приложения, пользователи могут вручную удалить их с помощью функции удаления приложений телефона. Тем не менее, «это может быть трудно сделать, когда полноэкранные рекламные объявления появляются каждые 15 или 30 минут, или каждый раз, когда пользователь открывает экран устройства», — считают исследователи.
В прошлом году Google удалил 22 вредоносных рекламных приложения — от фонариков, регистраторов вызовов до усилителей сигнала WiFi, которые были загружены до 7,5 миллионов раз с рынка Google Play.
Майк Биттнер (Mike Bittner), менеджер по цифровой безопасности и операциям в Media Trust, сказал, что рекламное ПО — это больше, чем просто раздражение: оно может потенциально использоваться для более злонамеренных целей, таких как направление устройств на кражу информации, связанной с устройством пользователя; загрузка ненужных файлов; и перенаправление пользователей на вредоносные сайты.
