Рекламные приложения скрываются в устройстве и запускаются автоматически
https://www.securitylab.ru/upload/ib...9bc61edcd9.jpg
Исследователи McAfee обнаружили несколько рекламных приложений , активно продвигаемых в Facebook* в качестве программ для очистки и оптимизации Android-устройств с миллионами установок в Google Play.
В приложениях отсутствуют все заявленные функции, при этом они пытаются продержаться на устройстве как можно дольше. Чтобы избежать удаления, приложения скрываются на устройстве жертвы, постоянно меняя значки и названия , маскируясь под настройки или сам Play Store.
https://www.securitylab.ru/upload/im...t-img(246).png
Установленное приложение меняет значок и имя
Для показа рекламы приложения используют компонент Android Contact Provider , который позволяет им передавать данные между устройством и онлайн-сервисами. Подсистема вызывается каждый раз во время установки нового приложения.
Эксперты отмечают, что пользователю не нужно запускать приложение после установки, чтобы увидеть рекламу, поскольку рекламное ПО запускается автоматически без какого-либо взаимодействия. Приложения сначала создают постоянную службу для показа рекламы. Если этот процесс завершается, он сразу перезапускается, а имя и значок автоматически меняются.
Согласно отчету McAfee, пользователи доверяют рекламным приложениям, потому что у большинства приложений есть группа в Facebook*.
https://www.securitylab.ru/upload/im...t-img(247).png
Профиль рекламного приложения в Facebook*
Кампания привела к огромному количеству загрузок следующих приложений:
<ol style="list-style-type: decimal"><li>Junk Cleaner, cn.junk.clean.plp, более 1 млн. загрузок;
</li>
<li>EasyCleaner, com.easy.clean.ipz, более 100 тыс. загрузок;
</li>
<li>Power Doctor, com.power.doctor.mnb, более 500 тыс. загрузок;
</li>
<li>Super Clean, com.super.clean.zaz, более 500 тыс. загрузок;
</li>
<li>Full Clean, org.stemp.fll.clean, более 1 млн. загрузок;
</li>
<li>Fingertip Cleaner, com.fingertip.clean.cvb, более 500 тыс. загрузок;
</li>
<li>Quick Cleaner, org.qck.cle.oyo, более 1 млн. загрузок;
</li>
<li>Keep Clean, org.clean.sys.lunch, более 1 млн. загрузок;
</li>
<li>Windy Clean, in.phone.clean.www, более 500 тыс. загрузок;
</li>
<li>Carpet Clean, og.crp.cln.zda, более 100 тыс. загрузок;
</li>
<li>Cool Clean, syn.clean.cool.zbc, более 500 тыс. загрузок;
</li>
<li>Strong Clean, in.memory.sys.clean, более 500 тыс. загрузок;
</li>
<li>Meteor Clean, org.ssl.wind.clean, более 100 тыс. загрузок.</li>
</ol>
Рекламное ПО затронуло пользователей по всему миру, но большинство жертв находятся в Южной Корее, Японии и Бразилии.
https://www.securitylab.ru/upload/im...t-img(248).png
Карта затронутых Android-пользователей
Рекламные приложения больше не доступны в Play Store. Также пользователи должны удалить приложения вручную с устройства.
*Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».