240 fałszywych emulatorów NES w Sklepie Play Google. Ponad 14 milionów instalacji
Eksperci z White Ops Satori Threat Intelligence and Research Team wykryli 240 fałszywych aplikacji w Sklepie Play, pobranych 14 milionów razy. Były nieudolnie wykonanymi kopiami gier retro, czy emulatorami Nintendo NES, a ich rzeczywistym zamiarem było zalewanie smartfonów reklamami OOC (out-of-context).
RAINBOWMIX, bo tak określono grupę fałszywych aplikacji, na pierwszy rzut oka działają zgodnie z przeznaczeniem. Jednak nawet ich jakość pozostawia wiele do życzenia. To nie są nawet napisane specjalnie na Androida gry, a jedynie emulatory gier na NES, ukradzione z legalnych źródeł. Niektóre aplikacje były też po prostu kiepsko wykonanymi grami, raczej odbierającymi, niż dającymi radość.
Wszystkie aplikacje z grupy RAINBOWMIX zostały już usunięte ze Sklepu Play. Pełną listę pakietów można znaleźć pod tym adresem. Do marketu aplikacji Google'a udało im się przemknąć stosując popularną ostatnio praktykę, czyli tzw. packery. Część pobranej zawartości pozostaje ukryta przez nieokreślony czas (zróżnicowany, aby utrudnić wykrycie), aż w pewnym momencie zaczyna się atak.
RAINBOWMIX – aplikacje po kilku dniach zaczynały wyświetlać pełnoekranowe reklamy
Jeśli minie kilka dni od zainstalowania, użytkownik może nie zdawać sobie sprawy z tego, dlaczego nagle wyświetlają mu się pełnoekranowe reklamy. Jak podaje zespół White Ops, wszystkie aplikacji miały bardzo niski współczynnik wykrywalności, głównie dzięki zastosowanym packerom.
Uwagę ekspertów po raz kolejny przykuły zróżnicowane opinie na temat aplikacji. Krzywa ocen przypomina literę "C" - cyberprzestępcy dodawali wiele fałszywych komentarzy "na piątkę", natomiast prawdziwi użytkownicy, którzy przejrzeli na oczy, dawali aplikacjom jedną gwiazdkę. Co więcej, niektórzy wystawiali dwie czy trzy gwiazdki. Bo gry spełniały swoją rolę, ale w zamian trzeba było oglądać dużo reklam.
Analitycy byli w stanie wskazać jeden wspólny mianownik, który znajdował się w każdej aplikacji z grupy RAINBOWMIX. Służył do aktywacji reklam OOC i znajdował się w usłudze com.timuz.a. Złośliwy kod powodował aktywację reklam co 10 minut, nawet, jeżeli użytkownik nie korzystał z aplikacji.
