Специалисты Sophos обнаружили в официальном каталоге Google Play 22 опасных приложения, которые в общей сложности были установлены более 2 000 000 раз (одно только приложение Sparkle Flashlight было загружено свыше 1 000 000 раз).

Исследователи пишут, что три вредоносных приложения были добавлены в каталог еще в 2016-2017 годах, а остальные появились летом 2018 года. Причем вредоносная функциональность появилась в уже упомянутом Sparkle Flashlight и еще двух «старых» приложениях в марте текущего года, а позже загруженные в Google Play приложения содержали вредоносный код с самого начала.

Данному семейству малвари было присвоено название Andr/Clickr-ad и, как несложно понять по этому идентификатору, в основном приложения использовались для фонового скликивания рекламы. Все приложения запускались и продолжали работать, даже если пользователь пытался завершить их принудительно, и при этом активно расходовали трафик и батарею. Так, малварь связывалась с доменом mobbt[.]com, откуда получала модули для рекламного фрода и новые инструкции, каждые 10 минут и 80 секунд, соответственно.

Чтобы не вызывать подозрений и сливаться трафиком настоящих пользователей, приложения подделывали user-agent и выдавали себя за другие продукты и устройства, включая iPhone. Так, малварь имитировала активность, якобы исходящую с iPhone начиная от 5 до 8 Plus, а также 249 моделей 33 производителей Android-устройств (якобы работающих под управлением Android от версии 4.4.2 до 7.x).

Эксперты отмечают, что малварь могла нанести ущерб не только пользователям, но рекламным сетям и даже всей экосистеме Android. Хуже того, вредоносные приложения полностью контролировались злоумышленниками с управляющего сервера и в любой момент могли быть использованы для установки на зараженное устройство дополнительной малвари.

В настоящее время все опасные приложения уже удалены из Google Play.

Источник: xakep.ru