Троянца-кликера из каталога Google Play установили почти 102 000 000 пользователей Android

    Троянцы-кликеры — распространенные вредоносные программы для накрутки посещений веб-сайтов и монетизации онлайн-трафика. Они имитируют действия пользователей на веб-страницах, нажимая на расположенные на них ссылки и другие интерактивные элементы. Вирусные аналитики «Доктор Веб» выявили очередного такого троянца в Google Play.

    Троянец представляет собой вредоносный модуль, который по классификации Dr.Web получил имя Android.Click.312.origin. Он встроен в обычные приложения — словари, онлайн-карты, аудиоплееры, сканеры штрих-кодов и другое ПО. Все эти программы работоспособны, и для владельцев Android-устройств выглядят безобидными. Кроме того, при их запуске Android.Click.312.origin начинает вредоносную деятельность лишь через 8 часов, чтобы не вызвать подозрений у пользователей.


    Начав работу, троянец передает на управляющий сервер следующую информацию о зараженном устройстве:


    • производитель и модель;
    • версия ОС;
    • страна проживания пользователя и установленный по умолчанию язык системы;
    • идентификатор User-Agent;
    • наименование мобильного оператора;
    • тип интернет-соединения;
    • параметры экрана;
    • временная зона;
    • информация о приложении, в которое встроен троянец.

    В ответ сервер отправляет ему необходимые настройки. Часть функций вредоносного приложения реализована с использованием рефлексии, и в этих настройках содержатся имена методов и классов вместе с параметрами для них. Эти параметры применяются, например, для регистрации приемника широковещательных сообщений и контент-наблюдателя, с помощью которых Android.Click.312.origin следит за установкой и обновлением программ.


    При инсталляции нового приложения или скачивании apk-файла клиентом Play Маркет троянец передает на управляющий сервер информацию об этой программе вместе с некоторыми техническими данными об устройстве. В ответ Android.Click.312.origin получает адреса сайтов, которые затем открывает в невидимых WebView, а также ссылки, которые он загружает в браузере или каталоге Google Play.


    Таким образом, в зависимости от настроек управляющего сервера и поступающих от него указаний троянец может не только рекламировать приложения в Google Play, но и незаметно загружать любые сайты, в том числе с рекламой (включая видео) или другим сомнительным содержимым. Например, после установки приложений, в которые был встроен этот троянец, пользователи жаловались на автоматические подписки на дорогостоящие услуги контент-провайдеров.



    Android.Backdoor.736.origin #drweb


    Android.Backdoor.736.origin #drweb


    Android.Backdoor.736.origin #drweb



    Android.Backdoor.736.origin #drweb


    Специалистам «Доктор Веб» не удалось воссоздать условия для загрузки троянцем таких сайтов, однако потенциальная реализация этой мошеннической схемы в случае с Android.Click.312.origin достаточно проста. Поскольку троянец сообщает управляющему серверу информацию о типе текущего интернет-соединения, то при наличии подключения через сеть мобильного оператора сервер может передать команду на открытие веб-сайта одного из партнерских сервисов, поддерживающих технологию WAP-Сlick. Эта технология упрощает подключение различных премиальных сервисов, однако часто применяется для незаконной подписки пользователей на премиум-услуги. Указанную проблему наша компания освещала в 2017 и 2018 годах. В некоторых случаях для подключения ненужной услуги не требуется подтверждение пользователя — за него это сможет сделать скрипт, размещенный на той же странице, или же сам троянец. Он и «нажмет» на кнопку подтверждения. А поскольку Android.Click.312.origin откроет страницу такого сайта в невидимом WebView, вся процедура пройдет без ведома и участия жертвы.


    Вирусные аналитики «Доктор Веб» выявили 34 приложения, в которые был встроен Android.Click.312.origin. Их установили свыше 51 700 000 пользователей. Кроме того, модификацию троянца, получившую имя Android.Click.313.origin, загрузили по меньшей мере 50 000 000 человек. Таким образом, общее число владельцев мобильных устройств, которым угрожает этот троянец, превысило 101 700 000. Ниже представлен список программ, в которых был найден этот кликер:



    GPS Fix
    QR Code Reader
    ai.type Free Emoji Keyboard
    Cricket Mazza Live Line
    English Urdu Dictionary Offline — Learn English
    EMI Calculator — Loan & Finance Planner
    Pedometer Step Counter — Fitness Tracker
    Route Finder
    PDF Viewer — EBook Reader
    GPS Speedometer
    GPS Speedometer PRO
    Notepad — Text Editor
    Notepad — Text Editor PRO
    Who unfriended me?
    Who deleted me?
    GPS Route Finder & Transit: Maps Navigation Live
    Muslim Prayer Times & Qibla Compass
    Qibla Compass — Prayer Times, Quran, Kalma, Azan
    Full Quran MP3 — 50+ Audio Translation & Languages
    Al Quran Mp3 — 50 Reciters & Translation Audio
    Prayer Times: Azan, Quran, Qibla Compass
    Ramadan Times: Muslim Prayers, Duas, Azan & Qibla
    OK Google Voice Commands (Guide)
    Sikh World — Nitnem & Live Gurbani Radio
    1300 Math Formulas Mega Pack
    Обществознание — школьный курс. ЕГЭ и ОГЭ.
    Bombuj — Filmy a seriály zadarmo
    Video to MP3 Converter, RINGTONE Maker, MP3 Cutter
    Power VPN Free VPN
    Earth Live Cam — Public Webcams Online
    QR & Barcode Scanner
    Remove Object from Photo — Unwanted Object Remover
    Cover art IRCTC Train PNR Status, NTES Rail Running Status

    Компания «Доктор Веб» передала информацию об этом троянце в корпорацию Google, после чего некоторые из найденных программ были оперативно удалены из Google Play. Кроме того, для нескольких приложений были выпущены обновления, в которых троянский компонент уже отсутствует. Тем не менее, на момент публикации этой новости большинство приложений все еще содержали вредоносный модуль и оставались доступными для загрузки.


    Вирусные аналитики рекомендуют разработчикам ответственно выбирать модули для монетизации приложений и не интегрировать сомнительные SDK в свое ПО. Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют программы, в которые встроены известные модификации троянца Android.Click.312.origin, поэтому для наших пользователей он опасности не представляет.


    Подробнее об Android.Click.312.origin

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 20

      +1
      Ага, я что-то подобное загрузил. Теперь чем бы я нибыл занят, вдруг реклама появляется, чувствую себя как в сериале черное зеркало. Как от него избавиться без хард ресета?
        –2

        Adguard установите.

          0
          очень смешно
            0
            Дрвеб бесплатный из маркета прибьет?
            Стоит ли Дрвеб бесплатный из маркета активировать в полноценный халявно имея лицензии на винде?
              +2
              Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют программы, в которые встроены известные модификации троянца Android.Click.312.origin, поэтому для наших пользователей он опасности не представляет.
              — да, прибьет.

              Также если есть лицензия на ПК, то в подарок одна для любого мобильного устройства.

                0
                Я знаю, что есть подарочная лицензия, вопрос в том стоит ли ее активировать на смартфоне или после активации включится куча ненужного и добавится тормозов?
                  +1
                  вы же понимаете, что не попробовав — не поймешь. Мы и дарим лицензию на гаджет, чтобы была максимальная защита.

                  вопрос в том стоит ли ее активировать на смартфоне

                  да, стоит. Вдобавок к АВ вы получите возможность URL фильтрации, Родительский контроль (если вдруг дети любят играть с вашим телефоном), брандмауэр, функцию Антивор — все настраивается.

                  после активации включится куча ненужного и добавится тормозов

                  Своевременно обновляем приложение и адаптируем под любые сборки мобильных ОС. По себе лично скажу, что не замечал. У меня тоже стоит.
                    0
                    Только ведь фильтр смс и антивор работать будут только после установки отдельного APK с сайта. так ведь?
                    Кстати в этом направлении ожидаются изменения, или гугл неприклонен?
                      0
                      Только ведь фильтр смс и антивор работать будут только после установки отдельного APK с сайта. так ведь?

                      пока так.

                      Переговоры с Google пока не принесли результата.
          0
          Какая реклама, от какого приложения?
            0
            Обычная гугловская реклама — яндекс такси, наши локальные сервисы, игры… просто появляется в любом приложении, от гугл фото и хрома до fbreader
              0
              Хм, можно посмотреть активные приложения, может что-то подозрительное есть. В том числе приложения с возможностью рисовать поверх других. Также может стоит проверить девайс админов, может что-то левое есть.
                0
                просто появляется в любом приложении

                Когда реклама вылезет в следующий раз — сделайте скриншот и станет ясно, какое приложение гадит рекламой.
            +1
            102 000 000
            «Миллионы мух не могут ошибаться» уже не шутка.
              0
              Компания «Доктор Веб» передала информацию об этом троянце в корпорацию Google, после чего некоторые из найденных программ были оперативно удалены из Google Play.
              следует ли из этого что производителям вышеописаного модуля ничего не грозит?
                +1
                мы не Роскомндазор, не ФБР, не ООН. Думаю, можно у них поинтересоваться. Мы предупредили и предотвратили угрозу для наших пользователей.
                  0
                  ой, зачем так агрессивно реагировать? Всего лишь хотелось узнать — получилось (случалось) ли установить и передать в соответсвующие органы реквизиты производителя вредоносного ПО?
                    0
                    ой, зачем так агрессивно реагировать?

                    Согласен, если без смайликов, то комментарий выглядит угрожающим ))

                    получилось (случалось) ли установить и передать в соответсвующие органы реквизиты производителя вредоносного ПО?

                    Скажем так, это не первый для нас опыт.
              • НЛО прилетело и опубликовало эту надпись здесь
                  0
                  Класс. Вот так оптимизируешь, оптимизируешь, камни телега, камни телега. А кто то просто слил трафика с трояна и в топе.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое