Рекламные блоки в приложениях уже давно используются многими разработчиками для монетизации программ и игр. Однако еще в 2011 году данную возможность решили использовать злоумышленники для распространения вредоносного кода.
Однако мошенники решили пойти значительно дальше и сформировали собственную рекламную сеть, которая практически не отличается от аналогичных сервисов (Startapp, Airpush, Google AdMob и т.д.): сеть предлагает разработчикам выгодные условия использования API, обещает стабильный и высокий доход, а также удобные инструменты для работы с учетными записями. Это позволило за относительно короткий промежуток времени привлечь достаточное количество разработчиков игровых приложений.
Как и в большинстве Adware-модулях, вывод рекламы происходит при помощи метода push – информационное оповещение выводится на панели состояния устройства. Однако кроме стандартных функций платформа злоумышленников включает несколько скрытых возможностей.
Например, push-уведомление может выводить оповещение о необходимости загрузки критического обновления для определенной программы. Если пользователь соглашается на обновление, рекламный модуль загружает сторонний apk-пакет и сохраняет его в каталог загрузок на карте памяти (/mnt/sdcard/download).
Вредоносный модуль также помещает на рабочий стол ярлык, указывающий на загруженную утилиту. Нажатие на созданный ярлык инициирует инсталляцию закруженного ранее пакета.
Исследование, проведенного специалистами антивирусных компаний, показало, что загруженный apk-файл вирусом семейства Android.SmsSend. Удалось также выявить и источник загрузки вредоносных пакетов: использовались сервера, которые уже давно используются для различных поддельных каталогов программ. Кроме выполнения стандартных команд, таких как загрузка apk-файла, вывод push-уведомления, модуль способен отправлять на сервер персональную информацию о зараженном телефоне (imei, imsi и код оператора).
Опасность данной рекламной сети в том, что программы, которые ее использовали, были обнаружены в каталоге Google Play, который многие пользователи считают безопасным источником приложений для Android.
Комментарии (0)