Из Google Play удалили более 200 adware-программ

Из Google Play удалили более 200 adware-программ

Специалисты Check Point в Google Play более 200 приложений с внедренным тулкитом SimBad для показа рекламы и перенаправления трафика на фишинговые сайты.

Эксперты полагают, что создателей скомпрометированных программ обманули: разработчики включили вредоносную библиотеку в свои приложения, не зная о всех ее функциях. Получив информацию от ИБ-аналитиков, модераторы репозитория удалили проблемные продукты.

Исследователи установили, что все скомпрометированные приложения содержали SDK RXDrioder, который позиционировался создателями как набор рекламных инструментов для монетизации. На деле возможности библиотеки оказались шире, чем демонстрация баннеров внутри целевой разработки.

По словам специалистов, adware-комплект, получивший название SimBad, способен:

  • Показывать рекламу вне приложения.
  • Периодически открывать страницы определенных продуктов в Google Play или 9Apps.
  • Скрывать иконку скомпрометированной программы.
  • Открывать в браузере ссылки, полученные с командного сервера.
  • Загружать сторонние установочные комплекты.
  • Открывать Google Play с результатами поиска по определенному слову.

Тулкит получал инструкции с командного сервера, расположенного по адресу addroider[.]com. Домен зарегистрировали в 2016 году, однако семь месяцев назад срок его делегирования истек, после чего ресурс, возможно, перехватили злоумышленники. В данный момент информация о владельце хоста скрыта настройками приватности. Развернутый на нем сайт использует opensource-платформу Parse Server, предназначенную для организации взаимодействия приложения и сервера через собственный API.

Как заявили ИБ-специалисты, большинство скомпрометированных приложений — это игры-симуляторы, в общей сложности набравшие около 150 млн загрузок. Эксперты обращают внимание, что при помощи RXDrioder можно загружать на целевое устройство не только скрипты для демонстрации рекламы, но и вредоносные программы.

В январе этого года из Google Play удалили другие 85 приложений, демонстрировавших пользователям навязчивую рекламу. Программы маскировались под игры, телевизионные сервисы и пульты управления бытовыми приборами, однако на деле не обладали заявленными функциями. Вместо этого вредоносные разработки каждые 15-30 минут показывали жертве полноэкранные баннеры.

Источник: //threatpost.ru/simbad-toolkit-infected-apps-booted-from-google-play/31845/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *