Вредоносная реклама распространяется в Google Play под видом фитнес-приложений

image

Теги: приложение, Android, Google Play

Замаскированные под приложения для здоровья вредоносные программы были загружены порядка 30 млн раз.

Специалисты компании Avast обнаружили в Google Play Store полсотни вредоносных рекламных приложений, замаскированных под приложения для здоровья и загруженных в общей сложности порядка 30 млн раз. В список приложений входят: Pro Piczoo, Photo Blur Studio, Mov-tracker, Magic Cut Out, Pro Photo Eraser и пр. с числом загрузок от 1 тыс. до 1 млн.

Все приложения связаны между собой через сторонние библиотеки, которые обходят реализованные в последних версиях Android ограничения для фоновых сервисов. Они отображают рекламу на весь экран и в некоторых случаях обманом заставляют пользователей установить дополнительное рекламное ПО.

Исследователи обнаружили в Google Play Store две версии вредоносного ПО под названием TsSdk. Более старая из них была загружена 3,6 млн раз и размещается в магазине между простыми играми, фоторедакторами и фитнес-приложениями.

После загрузки оба приложения выглядят вполне легитимными, но отображают на домашнем экране ссылки на нежелательные страницы и сервисы. Некоторые приложения также добавляют ссылку на Game Center, ведущую на страницу с предложениями различных игр. Приложения отображают рекламу при каждом включении домашнего экрана, а иногда даже загружают на устройство дополнительные ненужные программы.

Новые версии TsSdk были обнаружены среди музыкальных и фитнес-приложений, загруженных почти 28 млн раз. Код вредоноса был модифицирован и зашифрован и теперь запускается только после того, как жертва нажмет на соответствующую рекламу в Facebook.

Функция Facebook SDK под названием «deferred deep linking» позволяет приложениям фиксировать, когда пользователь нажал на рекламу. После нажатия приложение отображает дополнительную рекламу в течение первых четырех часов, а затем реже и более бессистемно. Тем не менее, при каждой разблокировке смартфона, а также каждые 15-30 минут отображается полноэкранная реклама.

Вредонос не работает корректно на Android 8.0 Oreo и более поздних версиях. В настоящее время некоторые из вредоносных приложений уже удалены из Google Play Store.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.