Более 7 млн. Android-пользователей подверглись атаке рекламного ПО в Google Play

[Artifact]

Рекламные приложения скрываются в устройстве и запускаются автоматически

Исследователи McAfee обнаружили несколько рекламных приложений , активно продвигаемых в Facebook* в качестве программ для очистки и оптимизации Android-устройств с миллионами установок в Google Play.
В приложениях отсутствуют все заявленные функции, при этом они пытаются продержаться на устройстве как можно дольше. Чтобы избежать удаления, приложения скрываются на устройстве жертвы, постоянно меняя значки и названия , маскируясь под настройки или сам Play Store.

Установленное приложение меняет значок и имя
Для показа рекламы приложения используют компонент Android Contact Provider , который позволяет им передавать данные между устройством и онлайн-сервисами. Подсистема вызывается каждый раз во время установки нового приложения.
Эксперты отмечают, что пользователю не нужно запускать приложение после установки, чтобы увидеть рекламу, поскольку рекламное ПО запускается автоматически без какого-либо взаимодействия. Приложения сначала создают постоянную службу для показа рекламы. Если этот процесс завершается, он сразу перезапускается, а имя и значок автоматически меняются.
Согласно отчету McAfee, пользователи доверяют рекламным приложениям, потому что у большинства приложений есть группа в Facebook*.

Профиль рекламного приложения в Facebook*
Кампания привела к огромному количеству загрузок следующих приложений:

1. Junk Cleaner, cn.junk.clean.plp, более 1 млн. загрузок;
   


2. EasyCleaner, com.easy.clean.ipz, более 100 тыс. загрузок;
   


3. Power Doctor, com.power.doctor.mnb, более 500 тыс. загрузок;
   


4. Super Clean, com.super.clean.zaz, более 500 тыс. загрузок;
   


5. Full Clean, org.stemp.fll.clean, более 1 млн. загрузок;
   


6. Fingertip Cleaner, com.fingertip.clean.cvb, более 500 тыс. загрузок;
   


7. Quick Cleaner, org.qck.cle.oyo, более 1 млн. загрузок;
   


8. Keep Clean, org.clean.sys.lunch, более 1 млн. загрузок;
   


9. Windy Clean, in.phone.clean.www, более 500 тыс. загрузок;
   


10. Carpet Clean, og.crp.cln.zda, более 100 тыс. загрузок;
    


11. Cool Clean, syn.clean.cool.zbc, более 500 тыс. загрузок;
    


12. Strong Clean, in.memory.sys.clean, более 500 тыс. загрузок;
    


13. Meteor Clean, org.ssl.wind.clean, более 100 тыс. загрузок.

Рекламное ПО затронуло пользователей по всему миру, но большинство жертв находятся в Южной Корее, Японии и Бразилии.

Карта затронутых Android-пользователей
Рекламные приложения больше не доступны в Play Store. Также пользователи должны удалить приложения вручную с устройства.
*Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».