Android Clicker

Výzkumníci společnosti Infosec objevili infikované aplikace šířící malware typu clicker v obchodě Google Play. Odhaduje se, že 16 poškozených aplikací nalezených v obchodě bylo staženo přibližně 20 milionůkrát. Podvodné programy nesly novou mobilní hrozbu sledovanou jako Android/Clicker. Výzkumníci, kteří vydali zprávu o malwaru, informovali Google a v důsledku toho byly všechny aplikace nesoucí užitečné zatížení z Obchodu Play odstraněny.

Četné hrozivé aplikace byly uživatelům prezentovány jako zdánlivě legitimní softwarové produkty, které poskytovaly skutečně užitečné funkce – baterky, fotoaparáty, správce úloh, čtečky QR a převodníky jednotek/měření. Jakmile je však aplikace stažena a otevřena, provede požadavek HTTP k načtení vzdálené konfigurace. Poté zaregistruje posluchače Firebase Cloud Messaging (FCM), který mu umožní přijímat push zprávy od útočníků.

Ohrožující schopnosti

Po úplném zavedení je Android/Clicker schopen otevřít libovolné webové stránky na pozadí narušeného zařízení. Většina uživatelů by si ani nevšimla, že takové aktivity na zařízení probíhají, protože malware by se sám aktivoval pouze v případě, že je zařízení nečinné a nepoužívá se. Po instalaci by také čekal nejméně hodinu, než by se spustily podvodné aktivity. Byly analyzovány dvě hlavní složky hrozby – knihovna s názvem 'com.click.cas' bude zodpovědná za automatická kliknutí, zatímco jiná knihovna s názvem 'com.liveposting' se zaměřuje na spouštění skrytých adwarových aktivit.

Obecně by provozovatelé Android/Clicker mohli vydělávat na podvodných proklikech na přidružených webech. Zařízení zasažená hrozbou by mohla trpět sníženým výkonem a zkrácenou životností baterie. V závislosti na internetovém plánu oběti může malware také způsobit další poplatky za mobilní data.