Следующая новость
Предыдущая новость

Более двух десятков приложений в Google Play содержали опасный бэкдор

07.12.2018 13:53
Более двух десятков приложений в Google Play содержали опасный бэкдор

Специалисты Sophos обнаружили в официальном каталоге Google Play 22 опасных приложения, которые в общей сложности были установлены более 2 000 000 раз (одно только приложение Sparkle Flashlight было загружено свыше 1 000 000 раз).

Исследователи пишут, что три вредоносных приложения были добавлены в каталог еще в 2016-2017 годах, а остальные появились летом 2018 года. Причем вредоносная функциональность появилась в уже упомянутом Sparkle Flashlight и еще двух «старых» приложениях в марте текущего года, а позже загруженные в Google Play приложения содержали вредоносный код с самого начала.

Данному семейству малвари было присвоено название Andr/Clickr-ad и, как несложно понять по этому идентификатору, в основном приложения использовались для фонового скликивания рекламы. Все приложения запускались и продолжали работать, даже если пользователь пытался завершить их принудительно, и при этом активно расходовали трафик и батарею. Так, малварь связывалась с доменом mobbt[.]com, откуда получала модули для рекламного фрода и новые инструкции, каждые 10 минут и 80 секунд, соответственно.

Чтобы не вызывать подозрений и сливаться трафиком настоящих пользователей, приложения подделывали user-agent и выдавали себя за другие продукты и устройства, включая iPhone. Так, малварь имитировала активность, якобы исходящую с iPhone начиная от 5 до 8 Plus, а также 249 моделей 33 производителей Android-устройств (якобы работающих под управлением Android от версии 4.4.2 до 7.x).

Более двух десятков приложений в Google Play содержали опасный бэкдор

Эксперты отмечают, что малварь могла нанести ущерб не только пользователям, но рекламным сетям и даже всей экосистеме Android. Хуже того, вредоносные приложения полностью контролировались злоумышленниками с управляющего сервера и в любой момент могли быть использованы для установки на зараженное устройство дополнительной малвари.

В настоящее время все опасные приложения уже удалены из Google Play. Ниже можно увидеть составленный аналитиками Sophos список.

Имя пакета Название Sha1
com.sparkle.flashlight Sparkle FlashLight 9ed2b260704fbae83c02f9f19a2c4e85b93082e7
com.mobilebt.snakefight Snake Attack 0dcbbae5d18c33039db726afd18df59a77761c03
com.mobilebt.mathsolver Math Solver be300a317264da8f3464314e8fdf08520e49a55b
com.mobilebt.shapesorter ShapeSorter e28658e744b2987d31f26b2dd2554d7a639ca26d
com.takatrip.android Tak A Trip 0bcd55faae22deb60dd8bd78257f724bd1f2fc89
com.magnifeye.android Magnifeye 7d80bd323e2a15233a1ac967bd2ce89ef55d3855
com.pesrepi.joinup Join Up c99d4eaeebac26e46634fcdfa0cb371a0ae46a1a
com.pesrepi.zombiekiller Zombie Killer 19532b1172627c2f6f5398cf4061cca09c760dd9
com.pesrepi.spacerocket Space Rocket 917ab70fffe133063ebef0894b3f0aa7f1a9b1b0
com.pesrepi.neonpong Neon Pong d25fb7392fab90013e80cca7148c9b4540c0ca1d
app.mobile.justflashlight Just Flashlight 6fbc546b47c79ace9f042ef9838c88ce7f9871f6
com.mobile.tablesoccer Table Soccer fea59796bbb17141947be9edc93b8d98ae789f81
com.mobile.cliffdiver Cliff Diver 4b23f37d138f57dc3a4c746060e57c305ef81ff6
com.mobile.boxstack Box Stack c64ecc468ff0a2677bf40bf25028601bef8395fc
net.kanmobi.jellyslice Jelly Slice 692b31f1cd7562d31ebd23bf78aa0465c882711d
com.maragona.akblackjack AK Blackjack 91663fcaa745b925e360dad766e50d1cc0f4f52c
com.maragona.colortiles Color Tiles 21423ec6921ae643347df5f32a239b25da7dab1b
com.beacon.animalmatch Animal Match 403c0fea7d6fcd0e28704fccf5f19220a676bf6c
com.beacon.roulettemania Roulette Mania 8ad739a454a9f5cf02cc4fb311c2479036c36d0a
com.atry.hexafall HexaFall 751b515f8f01d4097cb3c24f686a6562a250898a
com.atry.hexablocks HexaBlocks ef94a62405372edd48993030c7f256f27ab1fa49
com.atry.pairzap PairZap 6bf67058946b74dade75f22f0032b7699ee75b9e

Источник

Последние новости