Android Clicker

Дослідники Infosec виявили в магазині Google Play заражені програми, які поширюють зловмисне ПЗ клікерів. За оцінками, 16 пошкоджених програм, знайдених у магазині, було завантажено приблизно 20 мільйонів разів. Шахрайські програми несли нову мобільну загрозу, яку відстежували як Android/Clicker. Дослідники, які опублікували звіт про зловмисне програмне забезпечення, повідомили Google, і в результаті всі програми, що містять корисне навантаження, були видалені з Play Store.

Численні загрозливі програми були представлені користувачам як начебто законні програмні продукти, які надавали справді корисні функції – ліхтарики, камери, диспетчери завдань, QR-зчитувачі та конвертери одиниць/вимірів. Однак після завантаження та відкриття програми вона виконує HTTP-запит для отримання віддаленої конфігурації. Після цього він реєструє прослуховувач Firebase Cloud Messaging (FCM), що дозволяє йому отримувати push-повідомлення від зловмисників.

Загрозливі можливості

Після повного встановлення Android/Clicker здатний відкривати довільні веб-сайти у фоновому режимі зламаного пристрою. Більшість користувачів навіть не помітять, що такі дії відбуваються на пристрої, оскільки зловмисне програмне забезпечення активується, лише коли пристрій неактивний і не використовується. Він також чекає принаймні годину після встановлення, перш ніж запускати шахрайські дії. Було проаналізовано два основних компоненти загрози: бібліотека під назвою «com.click.cas» відповідатиме за автоматичні клацання, а інша бібліотека під назвою «com.liveposting» зосереджена на запуску прихованих рекламних дій.

Загалом оператори Android/Clicker могли отримувати дохід за допомогою шахрайських кліків на афілійованих веб-сайтах. Пристрої, на які впливає загроза, можуть мати зниження продуктивності та скорочення терміну служби акумулятора. Залежно від інтернет-плану жертви, зловмисне програмне забезпечення також може спричинити додаткову плату за мобільні дані.