Вирусные аналитики «Доктор Веб» сообщили об исследовании Android-приложения для секс-игрушек. Приложение содержало троян-кликер, способный незаметно открывать сайты. Такие трояны используется для скрытого показа рекламы, накручивания количества переходов по ссылкам, оформления платных подписок или DDoS-атак.
Трояном оказалось заражено приложение Love Spouse для управления игрушками для взрослых, загруженное из Google Play. Троян-кликер Android.Click.414.origin маскировался под компонент для сбора отладочной информации — библиотеку com.android.logcatch.
«Данное вредоносное ПО является модификацией трояна Android.Click.410.origin, который попал в поле нашего зрения в апреле прошлого года. Тогда в вирусную лабораторию поступил запрос от пользователя, у которого антивирус обнаружил появление нового файла в системной области ТВ-приставки V88mini», — рассказывают аналитики «Доктор Веб».
Анализ показал, что у Android.Click.414.origin модульная структура: один из трёх модулей получает информацию об устройстве, два других выполняют скрытую загрузку веб-страниц, показывают рекламу и совершают клики. После успешного запуска троян отправляет на свой управляющий сервер подробные сведения об устройстве (бренд, модель, версия ОС, IP-адрес, регион, выбранный в настройках, код оператора мобильной сети и другие).
Следующим шагом троян незаметно для пользователя загружает сайты через WebView. Он умеет прокручивать содержимое страниц, вводить текст в формы, отключать звук воспроизведения в тех случаях, если открываемые им сайты проигрывают аудио или видео. Для этого троян выполняет в WebView с загруженным целевым сайтом полученный от сервера JavaScript-код. Кроме того, троян может делать скриншоты отображаемого сайта и передавать их на сервер, попиксельно их анализировать и в соответствии с результатом анализа определять области для кликов уже в самом WebView. Примечательно, что троян работает избирательно и не запускается на устройствах с китайским языком интерфейса.
Изначально Android.Click.414.origin встречался в приложениях, установленных из неофициальных источников. В феврале 2024 года этот троян впервые был обнаружен в приложении из Google Play.
Помимо Love Spouse, трояном было заражено приложение QRunning для отслеживания физической активности. Приложения довольно популярны отмечают в «Доктор Веб», суммарно они установлены на более чем полутора миллионах устройств. Разработчик Love Spouse обновил приложение и начиная с версии 1.8.8 оно больше не содержит трояна. Корректирующих обновлений для QRunning пока не выходило.
