Android-приложения загружали мошенническую рекламу, обещая бесплатные товары

Android-приложения загружали мошенническую рекламу, обещая бесплатные товары

Операторы ботнета TERRACOTTA обманом заставляли пользователей загружать вредоносные приложения из Google Play Store.

image

Компания Google удалила неназванное количество Android-приложений из официального магазина Google Play, которые были частью ботнета, осуществлявшего мошенничество с рекламой. Ботнет, получивший название TERRACOTTA, был обнаружен командой исследователей Satori из ИБ-фирмы White Ops, специализирующейся на выявлении ботов. По словам экспертов, они отслеживают TERRACOTTA с конца 2019 года, когда ботнет стал активным.

Операторы TERRACOTTA загружали в Google Play Store приложения, которые обещали пользователям бесплатные бонусы в обмен на установку программ на устройство. Программы обычно предлагали бесплатные ботинки, кроссовки, сапоги, а иногда и билеты на концерты, купоны и дорогие стоматологические процедуры. Пользователям предлагалось установить приложение, а затем подождать две недели, чтобы якобы получить бесплатные продукты.

На самом деле приложения загружали и запускали модифицированную версию мини-браузера WebView, скрытую от глаз пользователей, и загружали мошенническую рекламу, предоставляя злоумышленникам доход от ее показов.

Основной код приложения (то есть APK) написан с использованием кросс-платформенной среды разработки React Native и просто отображает форму, которую пользователь заполняет для получения якобы бесплатных товаров. Данная часть приложения не содержит вредоносных функций, однако они содержатся в разрешениях .WAKE_LOCK и .FOREGROUND_SERVICE.

Один из модулей модуль ботнета обрабатывает связь C&C-серверов, что достигается за счет использования возможности обмена сообщениями Firebase (широко используемой платформы мобильных приложений). Возможность рекламного мошенничества активируется с помощью push-сообщений от Firebase, которое содержит дополнительный модуль React Native, получивший название RNVlCore

Как отметили исследователи, только за последнюю неделю июня ботнет TERRACOTTA незаметно загрузил более 2 млрд рекламных объявлений на 65 тыс. зараженных смартфонов. Эксперты сообщили о своих находках Google, и компания удалила вредоносные приложения из Play Store. Тем не менее некоторые устройства все еще могут быть заражены.

«Опасное будущее» наступает очень быстро, поэтому мы решили еженедельно мониторить поток новостей. Cмотрите обзор на нашем Youtube канале.