В Google Play та App Store виявлено додатки, що використовувалися для рекламного шахрайства

Згідно зі звітом Satori Threat Intelligence and Research Team, в 79 додатках з Google Play та в 9 додатках з App Store було виявлено код, що використовується для рекламного шахрайства. Програми були розроблені для отримання прибутку шляхом імітації законних програм і показу реклами користувачам. Загальне число встановлень цих застосунків на пристрої становить понад 13 млн разів.

Окрім закидання мобільних користувачів рекламою, як видимою, так і прихованою, шахрайські програми також отримували дохід, видаючи себе за легальні застосунки. Хоча ці типи програм не вважаються серйозною загрозою, розробники цих додатків можуть використовувати їх для більш небезпечної діяльності.

Дослідники виявили колекцію мобільних додатків, що є частиною нової кампанії рекламного шахрайства, яку вони назвали «Скілла» (Scylla). Аналітики вважають, що Скілла є третьою хвилею операції. Першу вони виявили ще в серпні 2019 року і охрестили «Посейдоном» (Poseidon). Друга хвиля, очевидно від того самого загрозливого субʼєкта, мала назву «Харибда» (Charybdis) і досягла кульмінації наприкінці 2020 року.

Команда повідомила Google і Apple про свої висновки, і програми були видалені з офіційних магазинів Android та iOS. На Android-пристроях, якщо у вас не вимкнено параметр безпеки Play Захист, програми мають виявлятися автоматично.

Що стосується iOS, Apple не може самостійно видалити ПЗ, що уже встановлене на пристроях. Дослідники рекомендують користувачам видалити шахрайські програми, якщо вони є на Ваших пристроях. Весь список програм/ігор наведений нижче.

iOS-застосунки, що використовувалися для рекламного шахрайства

1. Loot the Castle
2. Run Bridge
3. Shinning Gun
4. Racing Legend 3D
5. Rope Runner
6. Wood Sculptor
7. Fire-Wall
8. Ninja Critical Hit
9. Tony Runs

Android-застосунки, що використовувалися для рекламного шахрайства

1. Super Hero-Save the world!
2. Arrow Coins
3. Parking Master
4. Lady Run
5. Magic Brush 3D
6. Shake Shake Sheep
7. Number Combination: Colored Chips
8. Jackpot Scratcher-Win Real
9. Scratch Carnival
10. Ztime:Earn cash rewards easily
11. Billionaire Scratch
12. Lucky Wings – Lotto Scratchers
13. Lucky Star: Lotto Scratch
14. Shake Shake Pig
15. Lucky Money Tree
16. Run And Dance
17. Lucky Scratchers: Lotto Card
18. Pull Worm
19. Crowd Battle:Fight the bad guys
20. Shoot Dummy – Win Rewards & Paypal Cash
21. Spot 10 Differences
22. Find 5 Differences – New
23. Dinosaur Legend
24. One Line Drawing
25. Shoot Master
26. Talent Trap – NEW
27. Shoot it: Using Gun
28. Super Flake
29. Five-Star Slice
30. Sand Drawing
31. Mr Dinosaur: Play your Dino
32. Track Sliding New
33. Beat Kicker New
34. Fill Color 3D
35. Draw Live
36. Draw 1 Stroke
37. Fidget Cubes
38. Girls Fight
39. Ninja Assassin
40. Shooting Puzzle 2020
41. Pulley Parkour
42. Chop Flake 3D
43. Weapon Fantasy
44. Balloon Shooter
45. Musical Shoot
46. Chop Slices
47. Ninja Slice
48. Work Now!
49. Bottle Jump
50. Corn Scraper
51. Idle Wood Maker
52. Pop Girls Schooler
53. Romy Rush
54. Spear Hero
55. Dig Road Balls
56. BOO Popstar
57. Draw CompleteA
58. Rush 2048: 3D Shoot Cubes
59. Meet Camera
60. Auto Stamp Camera
61. Find Five Differences
62. MUFC
63. Roll Turn
64. Hiding Draw
65. Peter Shoot
66. Design n Road
67. Draw Complete
68. Thief King
69. Downhill Race
70. Rescue Master
71. Spin: Letter Roll
72. Helicopter Attack – NEW
73. Crush Car
74. Relx cash
75. War in Painting
76. Bike Extreme Racing
77. Player Spiral Maker 3D
78. Match 3 Tiles
79. 2048 Merge Cube – Win Cash

Деталі щодо зловмисного програмного забезпечення

Програми Scylla зазвичай використовували ідентифікатор пакета, який не збігається з назвою публікації, щоб рекламодавці вважали, ніби кліки/покази оголошень надходять із більш прибуткової категорії програмного забезпечення. Дослідники виявили, що 29 додатків Scylla імітували до 6000 додатків на базі бота-імітатора, що видає себе за унікального користувача, який взаємодіє з рекламою (CTV – Connected TV) і регулярно по колу змінювали ідентифікатори, щоб уникнути виявлення шахрайства.

На Android реклама завантажується в прихованих вікнах WebView, тому жертва ніколи не помітить нічого підозрілого, оскільки все це відбувається у фоновому режимі. Крім того, рекламне програмне забезпечення використовує систему «JobScheduler» для ініціювання подій показу реклами, коли жертви активно не використовують свої пристрої, наприклад, коли екран вимкнено.

Ознаки шахрайства реєструються в журналах і їх можна побачити в перехопленні мережевих пакетів, але типові користувачі зазвичай не розглядають їх. Порівняно з Poseidon, першою кампанією для цієї операції, програми Scylla покладаються на додаткові рівні обфускації коду за допомогою обфускатора Allatori Java. Це ускладнює виявлення та зворотне проектування для дослідників.

Користувачі повинні стежити за своїми застосунками на наявність шкідливих або небажаних програм, шукаючи деякі ознаки, які зазвичай вказують на проблему, як-от швидке розрядження акумулятора та збільшене використання даних в інтернеті. А ще звертати увагу на застосунки, які ви не встановлювали взагалі. Також рекомендується перевірити список встановлених додатків і видалити ті, які ви не памʼятаєте чи встановлювали або вони походять від незнайомого постачальника.