В официальном каталоге Google Play опять обнаружены рекламные приложения, которые загружались до 100 000 000 раз
Avast
Специалистами компании Avast были найдены пятьдесят приложений в Google Play. Все они были инфицированы хакерскими программными обеспечениями рекламного характера. Эта малварь была названа TsSdk, а инфицированные объекты устанавливались от пяти тысяч до пяти миллионов раз. При этом они постоянно показывали юзерам рекламные объявления на весь экран. А иногда предлагали произвести установку дополнительных продуктов.
Вредоносные рекламные ПО связаны между собой при помощи отдельных библиотек на Android. Они способны обходить ограничения, применяемые в фоновых сервисах так же в наиболее новейших версиях ОС.Этот обход мер предосторожности Google Play не запрещается, но антивирус сразу определяет такиепрограммы как нежелательные.
Используя инструменты apklab.io, эксперты смогли выявить 2 вида TsSdk в каталоге. Они имели одинаковый код своей структуры. Основное количество загрузок осуществлялось в Индонезии, Индии, Пакистане, Непале и Бангладеш.
Непосредственно после установки почти все приложения, в состав которых входил старый тип TsSdk, продолжают функционировать так же, как и прежде.
Те приложения, которые инфицированы более свежим видом TsSdk, устанавливались до двадцати восьми миллионов раз. В основном, это продукты, имеющие отношение к фитнесу и музыке. Чаще всего зараженные приложения устанавливались в Великобритании, Филиппинах, Малайзии, Индонезии и Бразилии.
В этой малвари присутствует улучшенная по надежности кодовая защита, поскольку в ней применяетсяTencent packer. А его довольно сложно расшифровать специалистам.
Этот вид вредоносного программного обеспечения не функционирует на Android 8.0, а также на последнихверсиях ОС. Ведь в них присутствуют изменения политики безопасности, которые есть во всех последующихобновлениях.
Check Point
Эксперты организации Check Point нашли в Google Play 6 приложений, которые инфицированы вредоносным ПО PreAMo. Все эти приложения загружались свыше девяноста миллионов раз.
В принципе, в состав PreAMo входят 3 разные части, при этом каждая несет ответственность за сотрудничество с определенными рекламными агентствами. По сути, они ни каким образом не взаимосвязаны между собой и активируются совершенно разными триггерами. Но их объединяет общий сервер управления res.mnexuscdn[.]com.
Стало известно, что приложения-кликеры уже удалены инженерами из Google Play.
