С декабря 2020 года преступники заразили более 10 автоматизированных систем покупки.
https://www.securitylab.ru/upload/ib...baba63d351.png
Киберпреступники организовали кампанию по распространению вредоносной рекламы, нацеленную на пользователей мобильных и других подключенных к Сети устройств. Операторы кампании, получившей название LuckyBoy, ориентированы на пользователей iOS, Android и Xbox. С декабря 2020 года они заразили более 10 автоматизированных систем покупки (Demand-Side Platform, DSP) в основном в Европе.
По словам специалистов из компании Media Trust, вредоносная программа проверяет глобальную переменную luckyboy, позволяющую ей определять, присутствуют ли на устройстве блокировщики, среды тестирования и активные отладчики. Если они обнаружены, вредоносная программа не запустится. В противном случае ПО запускает пиксель отслеживания, запрограммированный для перенаправления пользователя на вредоносный контент, включая фишинговые страницы и поддельные обновления программного обеспечения.
Как отметили эксперты, операторы LuckyBoy действуют в определенные периоды времени — запускают небольшие кампании по вечерам в четверг и продолжают в течение выходных.
По мере продвижения кампании по этапам выполняются множественные проверки с использованием обширной обфускации кода и исключения доменов, а также хищение информации о конкретных устройствах, включая код страны, размер окон, графическую информацию, количество ядер ЦП, уровень заряда батареи, текущий домен, плагины, наличие web-драйвера и наличие сенсорного ввода. Данная информация может быть использована злоумышленниками в дальнейших атаках.
Вредоносная программа постоянно проверяет, остается ли значение глобальной переменной «luckyboy». В противном случае скрипт прекращает выполнение и завершает работу после предоставления пользователю чистого объявления.