Android-кликер

Исследователи Infosec обнаружили зараженные приложения, распространяющие вредоносное ПО кликера в магазине Google Play. По оценкам, 16 поврежденных приложений, найденных в магазине, были загружены примерно 20 миллионов раз. Мошеннические программы содержали новую мобильную угрозу, отслеживаемую как Android/Clicker. Исследователи, опубликовавшие отчет о вредоносном ПО, уведомили Google, и в результате все приложения, несущие полезную нагрузку, были удалены из Play Store.

Многочисленные угрожающие приложения были представлены пользователям как вполне законные программные продукты, предоставляющие действительно полезные функции — фонарики, камеры, менеджеры задач, QR-ридеры и преобразователи единиц измерения в единицу измерения. Однако, как только приложение загружено и открыто, оно выполняет HTTP-запрос для получения своей удаленной конфигурации. После этого он регистрирует прослушиватель Firebase Cloud Messaging (FCM), что позволяет ему получать push-сообщения от злоумышленников.

Угрожающие возможности

После полной установки Android/Clicker может открывать произвольные веб-сайты в фоновом режиме взломанного устройства. Большинство пользователей даже не заметят, что такие действия происходят на устройстве, поскольку вредоносное ПО будет активироваться только тогда, когда устройство простаивает и не используется. Он также будет ждать не менее часа после его установки, прежде чем запускать мошеннические действия. Были проанализированы два основных компонента угрозы: библиотека с именем «com.click.cas» будет отвечать за автоматические клики, а другая библиотека с именем «com.liveposting» предназначена для запуска скрытых действий рекламного ПО.

Как правило, операторы Android/Clicker могут получать доход за счет мошеннических кликов на аффилированных веб-сайтах. Устройства, затронутые угрозой, могут пострадать от снижения производительности и сокращения времени автономной работы. В зависимости от интернет-плана жертвы вредоносное ПО также может привести к дополнительной плате за мобильные данные.