Загалом експертами кібербезпеки McAffee виявлено шістнадцять додатків зі зловмисним програмним забезпеченням які доступні в Google Play Store, офіційному магазині програм Android. Загалом програми встановлено понад 20 мільйонів разів.
Це зловмисне програмне забезпечення типу клікерів, що означає, що воно може контролювати пристрій жертви та отримувати доступ до вебсайтів без її відома чи згоди. На цей момент програми більше не доступні в магазині. Але дуже ймовірно, що у багатьох користувачів вони все ще встановлені на своїх телефонах.
Негайно видаліть ці шкідливі програми Android зі свого смартфона
У звіті детально описано, як шкідливі додатки видавали себе за практичні мобільні інструменти, такі як ліхтарики, диспетчери завдань, календарі, додатки для камери чи додатки для нотаток тощо.
Однак, як тільки вони були доступні на пристроях користувачів, програми почали шахрайство з рекламою. Наприклад, випадкові відвідування вебсайтів, які принесли зловмиснику гроші. Програми з мільйонами завантажень із магазину Google Play доступні в повному списку програм, які містять зловмисне програмне забезпечення. Нижче наведено назви програм і кількість завантажень до того моменту, коли вони більше не були в Google Play.
- High-Speed Camera – понад 10 мільйонів завантажень
- Smart Task Manager – понад 5 мільйонів завантажень
- Flashlight+ – понад 1 млн завантажень
- Memo Calendar – понад 1 мільйон завантажень
- K-Dictionary – понад 1 мільйон завантажень
- BusanBus – понад 1 мільйон завантажень
- Flashlight+ – понад 500 тисяч завантажень
- Quick Note – понад 500 тисяч завантажень
- Currency Converter – понад 500 тисяч завантажень
- Joycode – понад 100 тисяч завантажень
- EzDica – понад 100 тисяч завантажень
- Instagram Profile Downloader – понад 100 тисяч завантажень
- Ez Notes – понад 100 тисяч завантажень
- Flash Lite – понад 1000 завантажень
- Calcul – понад 100 завантажень
- Flashlight+ – понад 100 завантажень
Як працює ця шкідлива програма для Android?
Після того, як користувач запускає програму, програма надсилає HTTP-запит для завантаження своєї віддаленої конфігурації. Конфігурація реєструє прослуховувач FCM (Firebase Cloud Messaging) для отримання push-повідомлень після завантаження. На перший погляд здається, що це добре зроблене програмне забезпечення Android. Однак він використовує віддалену конфігурацію та методи FCM, щоб приховати функції рекламного шахрайства.
Параметри функції, яку потрібно викликати, а також інші типи інформації включаються в повідомлення FCM. На зображенні нижче показано частину історії повідомлень FCM:
Прихована функція починає працювати після отримання повідомлення FCM і виконання певних вимог. В основному це включає відвідування вебсайтів, які надсилаються через повідомлення FCM. І переглядати їх один за одним у фоновому режимі, імітуючи поведінку користувача. Хоча це заробляє гроші для загрози, яка створила це шкідливе програмне забезпечення. Це може генерувати багато мережевого трафіку та споживати багато енергії без відома користувачів.
Висновок
Кожен повинен якнайшвидше видалити будь-які програми зі своїх пристроїв. Якщо вони встановили будь-який із них. Здається, вони справді небезпечні!
Екосистема мобільної реклами може зіткнутися зі збоями через зловмисне програмне забезпечення клікерів, націлене на доходи від незаконної реклами. Зловмисна поведінка майстерно прихована від очей. Через певний проміжок часу зловмисні дії, такі як отримання даних URL-адреси сканування за допомогою повідомлень FCM, починаються у фоновому режимі та приховані від користувача.
McAfee Mobile Security може ідентифікувати та видаляти шкідливі програми, подібні до цієї, які можуть працювати приховано у фоновому режимі. Крім того, радять встановити та ввімкнути програмне забезпечення безпеки. Тож ви миттєво отримуватимете повідомлення про будь-які мобільні загрози, доступні на вашому пристрої. Ви можете очікувати збільшення терміну служби батареї та зменшення використання мобільних даних після видалення цього та інших шкідливих програм. При цьому гарантуйте, що ваші конфіденційні та особисті дані захищені від цих та інших типів загроз. Ми наполегливо рекомендуємо вам використовувати програму безпеки та триматися, наскільки це можливо, якомога далі від встановлення програм із неофіційних джерел.