Prawie 200 aplikacji dla Androida wyświetlało uciążliwe reklamy

Aplikacje znajdowały się w różnych sklepach z aplikacjami. W sumie specjaliści z Trend Micro znaleźli 182 aplikacje, należące do tej samej kampanii. Większość z nich trafiła do Google Play – specjaliści z TrendMicro znaleźli tam 111 aplikacji. 8 z nich zostało zainstalowanych ponad 9 milionów razy, zanim znikły ze sklepu Google'a. Z samego Google Play zostały więc pobrane jakieś 80 mln razy, statystyk z innych sklepów nie znamy.

Szkodliwe aplikacje były dobrze zamaskowane. Z zewnątrz wyglądały jak narzędzia fotograficzne lub gry, czyli najczęściej pobierane aplikacje dla Androida. Co więcej, aplikacje spełniały swoje zadanie przez przynajmniej pół godziny, by uśpić czujność użytkownika. Szkodliwy kod był uruchamiany dopiero po tym czasie. Gdy już ruszył, na ekranie smartfona wyświetlał pełnoekranowe reklamy, których nie da się szybko zamknąć. Reklama pojawiała się natychmiast po odblokowaniu urządzenia. Kolejne były wyświetlane cyklicznie, nawet co 5 minut.

Analitycy odkryli, że 30-minutowy „włącznik czasowy” był obecny we wczesnych wersjach aplikacji, numerowanych od 1.0.0 do 1.0.2. Usunięcie aplikacji było utrudniane, gdyż ich ikony były ukryte.

Kolejne wersje przedłużyły czas uśpienia szkodliwego skryptu do 24 godzin. W ten sposób oszuści zagwarantowali sobie, że aplikacja zostanie dłużej na smartfonie ofiary, gdyby ukryta ikona nie wystarczyła. Zwiększyli też szansę na pozytywną ocenę w sklepie, wystawioną przez prawdziwego użytkownika. Ten zabieg pomagał też oszukać oprogramowanie zabezpieczające, jeśli było zainstalowane na smartfonie.

W nowszych wersjach aplikacji dodana została też komunikacja z serwerem C&C (Command & Controll).

Analizując pakiety aplikacji, specjaliści znaleźli ślady początków kampanii. Była prowadzona przynajmniej pół roku, prawdopodobnie dłużej.

Trend Micro powiadomił Google. Tych aplikacji nie ma już w Google Play, ale na pewno są obecne w mniej restrykcyjnych sklepach. Takich kampanii nie brakuje