Согласно статистике, Android-программы с новым adware были совокупно скачаны от 1,5 млн до 7,5 млн раз.
С Google Play были вычищены более двух десятков приложений-фонариков и разных утилит после того, как исследователи обнаружили в них компонент для навязчивого показа рекламы, именуемый LightsOut. Согласно статистике онлайн-магазина Google, зараженные программы были совокупно скачаны от 1,5 млн до 7,5 млн раз.
Новый adware-код в легитимных приложениях обнаружили исследователи из Check Point Software. Согласно их описанию, он позволяет получать доход от рекламы, которую владельцев мобильных устройств обманом заставляют просматривать и активировать.
«Некоторые пользователи заметили, что их вынуждают кликнуть на рекламный баннер при ответе на звонок или выполнении иного действия на устройстве, — пишут эксперты в блоге. — А один из пользователей сообщил, что вредоносная деятельность сохранилась даже после покупки версии приложения без рекламы».
На Google Play этот вредоносный код был обнаружен в ноябре; как оказалось, он впервые появился в магазине двумя месяцами раньше. Check Point сразу сообщила в Google о неприятной находке, и через неделю все 22 зараженных приложения были изъяты из доступа. Наиболее популярные из них — программа для записи звонков и утилита, запоминающая регистрационные данные к Wi-Fi, — были загружены пользователями 5 млн и 500 тыс. раз соответственно.
Анализ показал, что зловред LightsOut внедряется в легитимные Android-приложения как Solid SDK, обладающий двумя вредоносными функциями, которые активируются по команде с C&C-сервера. Во-первых, при начальном запуске вредоносный код прячет свою иконку, чтобы владелец гаджета не обнаружил его и не удалил. Во-вторых, он предлагает пользователю поле для установки флажка и панель управления для включения и выключения дополнительных служб, в том числе показа рекламы.
Рекламу LightsOut отображает при любом событии: установке WiFi-соединения, завершении вызова, подключении зарядного устройства, блокировке экрана. Однако отключение любой из предложенных им функций ничего не изменит — зловред отменит этот выбор с помощью скриптов и продолжит показывать рекламу вне контекта загруженного приложения.
Исследователи полагают, что вирусописателям удалось обойти защиту Google Play Protect, проверяющую новое и уже выложенное ПО на наличие вредоносного кода, поскольку при установке зараженного LightsOut приложения его разрешения прозрачны для пользователя. «LightsOut может показаться легитимным, так как он запрашивает у пользователя разрешения для различных сервисов и позволяет одобрять или отклонять доступ к этим службам и рекламному сопровождению», — пишут исследователи.
По словам Дэниела Пейдона (Daniel Padon), занимающегося анализом мобильных угроз в Check Point, данный зловред отличается от прочего adware тем, что скрывает свою иконку и выказывает вполне легитимное поведение. «Без передовых средств анализа контекста защитным решениям будет трудно обнаружить подобные злоупотребления», — признал эксперт.
За последний год Google приняла ряд мер для укрепления защиты экосистемы Android, в том числе своего магазина и пользовательских устройств. Тем не менее, зловреды продолжают время от времени объявляться на Google Play. Так, в прошлом году из магазина Google была удалена поддельная копия WhatsApp, принудительно показывавшая рекламу. В августе с Google Play был изгнан шпион SonicSpy, а в марте — более дюжины репаков легитимных Android-программ, созданных с целью агрессивного показа рекламы.