Продвинутые трояны могли запрашивать рекламу от лица разных устройств, притом не только Android, но и iOS.
Эксперты компании Sophos обнаружили в Google Play 22 вредоносных приложения, используемые для накрутки рекламных кликов. Трояны умели надежно закрепляться на пользовательском устройстве, загружать дополнительные программные модули и имитировать активность сразу нескольких мобильных устройств, повышая тем самым доход мошенников.
Зловредные приложения маскировались под игры, фонарики и прочие безобидные утилиты. Три из них появились в Google Play в 2016 и 2017 году и в то время не имели на борту нелегитимных функций. Вредоносный код в них добавили в июне 2018-го, и впоследствии в магазин были загружены еще 19 приложений, заточенных под накручивание кликов. На момент удаления общее количество скачиваний у всех этих троянизированных программ превысило 2 млн.
По словам исследователей, зловреды сильно отличаются от других представителей своего класса. Фактически эти clickfraud-трояны представляют собой модульные бэкдоры. После установки на мобильном устройстве они получают с удаленного сервера дополнительные программные пакеты с инструкциями по их распаковке.
Эти модули могут выполнять любые задачи, в зависимости от целей преступников на данный момент. Оператор может удаленно включать и отключать различные компоненты, а также оперативно обновлять их код. Троян обращается к C&C-серверу за указаниями каждые 10 минут.
Еще одна особенность обнаруженных зловредов в том, что они могут вести интернет-активность от лица произвольных мобильных устройств, включая смартфоны Apple. Для этого трояны редактируют данные User-Agent, где указаны модель и ОС гаджета, используемый браузер и прочие сведения. Подобные манипуляции позволяют мошенникам брать больше денег за клики по баннерам — рекламодатели нередко оценивают iOS-пользователей выше, предполагая их большую платежеспособность.
В настройках зловредов прописаны системные данные 249 Android-устройств от всех ведущих брендов и смартфоны Apple с iPhone 5 по iPhone 8 Plus. Такой набор «масок» позволяет троянам реалистично имитировать активность большого количества пользователей, не вызывая при этом подозрений у рекламных сетей и обходя автоматические фильтры.
Что касается самих жертв, они могут заметить присутствие вредоноса только по растущему интернет-трафику и быстро разряжающейся батарее. Весь рекламный контент кликер открывает в невидимом окне браузера размером 0х0 пикселей. Если же пользователь закроет нежелательное приложение, троян запустится снова через три минуты. Зловред также добавляет себя в список автозагрузки при включении аппарата.
Эксперты передали всю информацию Google, которая заблокировала опасные приложения в своем магазине. Пользователям, которые успели их скачать, придется вручную удалить их с собственных устройств. Задействованные в атаках серверы работают и сейчас, и установленные на смартфонах кликеры продолжают генерировать преступникам прибыль.
Ранее Google сообщила, что в официальном магазине Android риск получить нежелательное ПО в девять раз ниже, чем на сторонних площадках. Тем не менее, подобные программы продолжают проникать в Google Play — в одном из последних случаев компания обвинила в мошенничестве создателей приложений с сотнями миллионов загрузок.