Приложения, скачанные в общей сложности около 150 миллионов раз, содержали тулкит SimBad, способный показывать рекламу.
Специалисты Check Point обнаружили в Google Play более 200 приложений с внедренным тулкитом SimBad для показа рекламы и перенаправления трафика на фишинговые сайты.
Эксперты полагают, что создателей скомпрометированных программ обманули: разработчики включили вредоносную библиотеку в свои приложения, не зная о всех ее функциях. Получив информацию от ИБ-аналитиков, модераторы репозитория удалили проблемные продукты.
Исследователи установили, что все скомпрометированные приложения содержали SDK RXDrioder, который позиционировался создателями как набор рекламных инструментов для монетизации. На деле возможности библиотеки оказались шире, чем демонстрация баннеров внутри целевой разработки.
По словам специалистов, adware-комплект, получивший название SimBad, способен:
Тулкит получал инструкции с командного сервера, расположенного по адресу addroider[.]com. Домен зарегистрировали в 2016 году, однако семь месяцев назад срок его делегирования истек, после чего ресурс, возможно, перехватили злоумышленники. В данный момент информация о владельце хоста скрыта настройками приватности. Развернутый на нем сайт использует opensource-платформу Parse Server, предназначенную для организации взаимодействия приложения и сервера через собственный API.
Как заявили ИБ-специалисты, большинство скомпрометированных приложений — это игры-симуляторы, в общей сложности набравшие около 150 млн загрузок. Эксперты обращают внимание, что при помощи RXDrioder можно загружать на целевое устройство не только скрипты для демонстрации рекламы, но и вредоносные программы.
В январе этого года из Google Play удалили другие 85 приложений, демонстрировавших пользователям навязчивую рекламу. Программы маскировались под игры, телевизионные сервисы и пульты управления бытовыми приборами, однако на деле не обладали заявленными функциями. Вместо этого вредоносные разработки каждые 15-30 минут показывали жертве полноэкранные баннеры.