Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Android-приложения загружали мошенническую рекламу, обещая бесплатные товары (http://txgate.io:443/showthread.php?t=16434)

Artifact 04-02-2025 02:19 AM

Операторы ботнета TERRACOTTA обманом заставляли пользователей загружать вредоносные приложения из Google Play Store.
https://www.securitylab.ru/upload/ib...e5d7856710.jpg
Компания Google удалила неназванное количество Android-приложений из официального магазина Google Play, которые были частью ботнета, осуществлявшего мошенничество с рекламой. Ботнет, получивший название TERRACOTTA, был https://www.whiteops.com/blog/terrac...echnical-studyкомандой исследователей Satori из ИБ-фирмы White Ops, специализирующейся на выявлении ботов. По словам экспертов, они отслеживают TERRACOTTA с конца 2019 года, когда ботнет стал активным.
Операторы TERRACOTTA загружали в Google Play Store приложения, которые обещали пользователям бесплатные бонусы в обмен на установку программ на устройство. Программы обычно предлагали бесплатные ботинки, кроссовки, сапоги, а иногда и билеты на концерты, купоны и дорогие стоматологические процедуры. Пользователям предлагалось установить приложение, а затем подождать две недели, чтобы якобы получить бесплатные продукты.
На самом деле приложения загружали и запускали модифицированную версию мини-браузера WebView, скрытую от глаз пользователей, и загружали мошенническую рекламу, предоставляя злоумышленникам доход от ее показов.
Основной код приложения (то есть APK) написан с использованием кросс-платформенной среды разработки React Native и просто отображает форму, которую пользователь заполняет для получения якобы бесплатных товаров. Данная часть приложения не содержит вредоносных функций, однако они содержатся в разрешениях .WAKE_LOCK и .FOREGROUND_SERVICE.
Один из модулей модуль ботнета обрабатывает связь C&C-серверов, что достигается за счет использования возможности обмена сообщениями Firebase (широко используемой платформы мобильных приложений). Возможность рекламного мошенничества активируется с помощью push-сообщений от Firebase, которое содержит дополнительный модуль React Native, получивший название RNVlCore
Как отметили исследователи, только за последнюю неделю июня ботнет TERRACOTTA незаметно загрузил более 2 млрд рекламных объявлений на 65 тыс. зараженных смартфонов. Эксперты сообщили о своих находках Google, и компания удалила вредоносные приложения из Play Store. Тем не менее некоторые устройства все еще могут быть заражены.


All times are GMT. The time now is 09:07 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.