Przejdź na

240 fałszywych emulatorów NES w Sklepie Play Google. Ponad 14 milionów instalacji

Eksperci z White Ops Satori Threat Intelligence and Research Team wykryli 240 fałszywych aplikacji w Sklepie Play, pobranych 14 milionów razy. Były nieudolnie wykonanymi kopiami gier retro, czy emulatorami Nintendo NES, a ich rzeczywistym zamiarem było zalewanie smartfonów reklamami OOC (out-of-context).

fot. Pixabayfot. Pixabay
Arkadiusz Stando
Arkadiusz Stando

RAINBOWMIX, bo tak określono grupę fałszywych aplikacji, na pierwszy rzut oka działają zgodnie z przeznaczeniem. Jednak nawet ich jakość pozostawia wiele do życzenia. To nie są nawet napisane specjalnie na Androida gry, a jedynie emulatory gier na NES, ukradzione z legalnych źródeł. Niektóre aplikacje były też po prostu kiepsko wykonanymi grami, raczej odbierającymi, niż dającymi radość.

Wszystkie aplikacje z grupy RAINBOWMIX zostały już usunięte ze Sklepu Play. Pełną listę pakietów można znaleźć pod tym adresem. Do marketu aplikacji Google'a udało im się przemknąć stosując popularną ostatnio praktykę, czyli tzw. packery. Część pobranej zawartości pozostaje ukryta przez nieokreślony czas (zróżnicowany, aby utrudnić wykrycie), aż w pewnym momencie zaczyna się atak.

RAINBOWMIX – aplikacje po kilku dniach zaczynały wyświetlać pełnoekranowe reklamy

Jeśli minie kilka dni od zainstalowania, użytkownik może nie zdawać sobie sprawy z tego, dlaczego nagle wyświetlają mu się pełnoekranowe reklamy. Jak podaje zespół White Ops, wszystkie aplikacji miały bardzo niski współczynnik wykrywalności, głównie dzięki zastosowanym packerom.

Uwagę ekspertów po raz kolejny przykuły zróżnicowane opinie na temat aplikacji. Krzywa ocen przypomina literę "C" - cyberprzestępcy dodawali wiele fałszywych komentarzy "na piątkę", natomiast prawdziwi użytkownicy, którzy przejrzeli na oczy, dawali aplikacjom jedną gwiazdkę. Co więcej, niektórzy wystawiali dwie czy trzy gwiazdki. Bo gry spełniały swoją rolę, ale w zamian trzeba było oglądać dużo reklam.

Obraz

Analitycy byli w stanie wskazać jeden wspólny mianownik, który znajdował się w każdej aplikacji z grupy RAINBOWMIX. Służył do aktywacji reklam OOC i znajdował się w usłudze com.timuz.a. Złośliwy kod powodował aktywację reklam co 10 minut, nawet, jeżeli użytkownik nie korzystał z aplikacji.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯