30 марта в 12:25

Фальшивые обещания, агрессивная реклама, трояны-загрузчики и другие сюрпризы Google Play

Специалисты ESET обнаружили на сервисе Google Play очередную партию вредоносных и нежелательных приложений. Они маскируются под легитимные программы и/или используют методы социальной инженерии для увеличения рейтинга. Общее число загрузок «героев» этого обзора превышает полтора миллиона, причем в большинстве ситуаций изучение отзывов пользователей в сервисе Google Play позволило бы избежать установки потенциально опасного ПО.

image

Фальшивые обещания как бизнес-модель

Обширная категория этих рекламных приложений на Google Play использовала методы социальной инженерии, выпрашивая у пользователей высокие оценки – это повышало число последующих загрузок.

Как правило, в описании приложения перечислялись несуществующие функции. После установки на экран устройства выводилось всплывающее сообщение, обещающее продолжение инсталляции или разблокировку полной версии за высокую оценку на Google Play. Как результат, приложения имели неправдоподобно высокий рейтинг, их выдавали только отзывы разочарованных пользователей.

Классический пример – поддельная игра Subway Sonic Surf Jump, которая выпрашивала оценку 5*, обещая открыть полный доступ к функциям, а по факту показывала один рекламный баннер за другим. Приложение установили больше 500 тысяч пользователей, средний рейтинг составил 4,1 балла, высокие оценки сопровождались возмущенными комментариями.

image

Примерно так же действовали и другие популярные (по рейтингу) приложения – Anime Wallpapers HD и Latest online movies. Они «продавали» отсутствующие функции за 5*, привлекая пользователей, не читающих отзывы.

image

Еще один способ выпросить высокую оценку – назойливая реклама. Некоторые приложения демонстрировали рекламные объявления во всплывающих окнах и обещали удалить их в обмен на пятибалльный рейтинг.

Понятно, что это пустые обещания, но у авторов нет другого способа улучшить рейтинг. Их не останавливает даже прямой запрет накруток, предусмотренный правилами Google Play Developer Policy.

Android/Hiddad.BZ: рекламный троян, накручивающий рейтинг

Среди приложений, накручивающих рейтинг, выделяется мобильный троян для показа рекламы Android/Hiddad.BZ.

Программа маскировалась под инструмент для загрузки контента с YouTube – семь приложений с названиями типа Tube.Mate и Snaptube. Их установили до 5000 пользователей.

Вредоносное ПО использует ряд методов, чтобы убедить пользователей установить дополнительный компонент, показывающий рекламу, и при этом поставить приложению высокую оценку на Google Play.

image

image

После установки все семь приложений отображались на устройстве как Music Mania. Кликнув по соответствующей иконке, пользователь запускал загрузку компонента для показа рекламы. Для этого программа выводила на экран сообщение, предлагающее установку «плагина для Android», и блокировала экран до нажатия INSTALL. Далее программа запрашивала права администратора устройства тем же способом – выводя на экран еще одно сообщение.

image

Получив права администратора, программа демонстрировала пользователю рекламные баннеры и предлагала оценить приложение в 5*, чтобы избавиться от назойливого контента. Удалять сообщения бесполезно – рекламных баннеров будет еще больше, что в перспективе вынуждает пользователя оценить программу, когда предложение появится снова.

image

Чтобы очистить устройство от Android/Hiddad.BZ, нужно отключить ему права администратора, вручную удалить дополнительный плагин, а затем и само приложение (Music Mania) через Менеджер приложений. Если у вас установлен мобильный антивирус, он также детектирует и удалит эту угрозу.

image

Android/TrojanDownloader.Agent.JL: троян-загрузчик с рекламным модулем

Следующая категория вредоносного ПО на Google Play, обнаруженная специалистами ESET, – троян-загрузчик, демонстрирующий на зараженном устройстве рекламу. Такое содержимое выявлено у 14 приложений, маскирующихся под моды Minecraft. Вредоносное ПО загрузили в общей сложности до 80 тысяч раз.

Как и Android/Hiddad.BZ, троян использует для показа рекламы дополнительные компоненты. Рекламный модуль не является частью оригинального приложения – он должен быть загружен из сети и установлен пользователем вручную после запуска.

Приложение не имеет реальных функций и показывает назойливую рекламу. Как результат, его выдает низкий рейтинг и негативные отзывы.

image

После запуска приложение запрашивает права администратора устройства. Когда режим администратора активирован, на экране отображается сообщение с кнопкой INSTALL MOD. Одновременно push-уведомление информирует пользователя о том, что для продолжения инсталляции необходим дополнительный модуль Block Launcher Pro.

В процессе установки модуля пользователю предлагается наделить его рядом разрешений (включая права администратора). Дополнительные компоненты, которые устанавливаются в процессе, детектируются продуктами ESET NOD32 как Android/Hiddad.DA. Единственная функция такого приложения и дополнительного модуля – показ рекламы.

image

Интересно, что этот троян-загрузчик представляет собой усовершенствованную версию приложения, которое впервые появилось на Google Play в феврале. В той версии использовался похожий интерфейс, она тоже запрашивала права администратора, но не имела функционала для загрузки и, в отличие от нынешней, действительно содержала моды Minecraft.

Обновленная версия загрузчика теоретически может загружать на устройство жертвы любое ПО. Нет повода полагать, что авторы трояна ограничатся показом рекламы. Отработав схему обхода системы безопасности сервиса Google Play и обмана пользователей, они рано или поздно предпримут следующий шаг – распространение более опасных вредоносных программ.

Шанс увидеть и установить одно из вредоносных приложений при загрузке модов Minecraft довольно велик. Чтобы избавиться от загрузчика, можно использовать надежный мобильный антивирус или устранить угрозу вручную в Менеджере приложений, предварительно отключив права администратора для приложения и модуля-загрузчика.

image

Android/FakeApp.FG: приложение для перенаправления на сайты мошенников

Еще 73 поддельных мода Minecraft используют классическую схему, перенаправляя пользователя на сайты мошенников. Эти приложения обнаруживаются как Android/FakeApp.FG, они были установлены до 910 тысяч раз.

image

После запуска приложение отображает сообщение с кнопкой DOWNLOAD. Нажатие кнопки не загрузит какие-либо моды, а вместо этого перенаправит пользователя на сайт, открывающийся в установленном по умолчанию браузере. На сайтах представлен всевозможный навязчивый контент – реклама, опросы, «розыгрыши», купоны, поддельные обновления ПО и сообщения о вирусах. Сообщения локализованы – в зависимости от IP-адреса пользователя.

image

image

Android/FakeApp.FG можно удалить вручную в Менеджере приложений или воспользоваться мобильным антивирусом.

Профилактика

Даже обнаружив вредоносное ПО, накручивающее рейтинг на Google Play, мы не отказываемся от главного совета – проверяйте приложение до загрузки. Помимо средней оценки, важно проверить отзывы пользователей. Как доказали перечисленные эпизоды, пользователи пишут честные отзывы, даже (особенно) если их уже убедили поставить завышенную оценку.

Образцы

Android/Hiddad.BZ:

image
image

Android/FakeApp.FG:

image

За обзоры вредоносных приложений отдельное спасибо вирусному эксперту Лукашу Стефанко.

На всякий случай напомним, что от подобных угроз защищает мобильный антивирус ESET NOD32.
Автор: @esetnod32
ESET NOD32
рейтинг 77,45

Комментарии (18)

  • +3
    Краткое содержание статьи:

    «Use your brain.*
    *If you have it»
    • +1
      На самом деле не только. Социальная инженерия потому и работает что использование мозга проблему не решает. Вот, например, даже профессор физики, который по просьбе своей новой возлюбленной, которую живьём не видел ни разу перевёз её «забытый багаж» полный наркотических препаратов с одного континента на другой. А тут всего лишь пару кликов сделать по кнопке «сделать мне хорошо», «дать мне то что мне нужно» и при этом даже оплат производить не нужно :)

      Так что тут практически типичный Russian-reversal: мы имеем мозг, а мозг биохимией имеет нас. Главная уязвимость всегда была есть и будет в человеке, собственно потому безо всяких технологий мошенники успешны уже многие тысячелетия и до сих пор эффективны даже выставки ослов ;)
  • 0
    В итоге теперь рецепт такой: если просит скачать аддон и тем более ставить галку в настройках — лесом, лесом.
    Ну и отзывы текстовые…
  • –11
    Купите iPhone и не переживайте :-)
    • –6
      Ты из какого века сюда забрался? Айфон — это панты, которые стоят в 5 раз дороже нормального телефона!
    • –6
      Айфоны давно покупают те, кому не функции телефона нужны, а перед другими попантоватся, что я КРУТОЙ, могу себе айфон позволить!
      Мой телефон на андроиде снимает в 4к видео, имеет 6 ядер по 1.8, дисплей с разрешением 1920х1080 и держит батарею 2 дня. Стоимость 11 000р.
      А твой Айфон что может за свои деньги?
      • +2
        Айфон — это панты

        ...


        Мой телефон на андроиде снимает в 4к видео, имеет 6 ядер по 1.8, дисплей с разрешением 1920х1080 и держит батарею 2 дня. Стоимость 11 000р.
        А твой Айфон что может за свои деньги?

        Вы сами себе противоречите, кажется?

      • +3
        Это не повод понтоваться андроидом. Пусть все покупают что хотят.
      • +1
        Топик без «православного» холивара не торт
        • +2
          image
      • 0
        Ну вот о вирусах на ios можно не думать. Можно не думать о том, что очередная скачанная игра не уведет данные твоего логина в сбербанк-мобайл. Какой — никакой, а плюс. И вы все-таки излишне эмоциональны и категоричны. Айфоны давно вполне себе функциональны (а если их использовать в родной экосистеме то и подавно).
    • +1
      поддерживаю, не понимаю за что минусят Вас. сейчас самому прилетит наверное)
  • +3
    К слову о Google Play.
    Я не понимаю, почему есть только следующие пункты сортировки отзывов.
    — Сначала полезные
    — Сначала новые
    — По убыванию оценки

    А по «возрастанию оценки» когда завезут?
    • +1
      А зачем вам отборное гуано?
    • 0
      Тогда и «Сначала бесполезные», «Сначала старые»…
  • 0
    Судя по описанию все требуют прав администратора.
    Какие права дает администратор для нормальных приложений, без которых не обойтись?
    У самого старый кирпич, так что с этим не сталкивался.
  • 0
    Что имеется в виду под «права администратора устройства»?
  • 0
    Маркеты должны бороться с этим. А вообще, статья — просто реклама антивирусника.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Администрирование