Эксперты по кибербезопасности выявили суперсовременный мошеннический конвейер по производству скам-приложений для Android. Утилиты активно распространялись в Google Play Store, умеют отличать обычного пользователя от ИБ-спеца и прячут себя в картинках.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Большое расследование провела команда Satori Threat Intelligence из компании Human. Они обнаружили целый кластер вредоносных Android-приложений, которые оснащены не хуже Джеймса Бонда. Всё это назвали SlopAds, поскольку мошенники зарабатывали на показе рекламы. Количество установок перевалило за 38 млн — и это только из Play Store.

Прежде всего, утилита понимала, откуда ее скачали — если из магазина Google, то она долгое время вела себя безукоризненно. Если же установка была из APK, то врата ада разверзались с первого же запуска. В момент старта приложение определяло, в чьих руках находится — обычного пользователя или специалиста по кибербезопасности. Если проверка проходила успешно, из сети скачивались четыре картинки, в которых зашифрованы четыре части настоящей APK-малвари.

Изображения расшифровывались, троян устанавливался и начинал имитировать фейковые сайты на игровые и новостные тематики, показывая пользователю тонны рекламы и зарабатывая на этом. В сутки они генерировали более 2 млрд показов и кликов по рекламе. Параллельно на смартфоне запускалась нагрузка JavaScript.

Инфраструктура состояла из 224 приложений, более 300 промо-доменов и множества связанных серверов. Сейчас Play Markert очищен от этих приложений, а Google Play Protect обновлен. Но специалисты считают, что хакеры адаптируют схему и вскоре обойдут новые механизмы защиты.

Напомним, что на iOS и iPhone подобные схемы нереализуемы, так как система закрыта от сторонних установок приложений, а App Store известен своими строгими модераторами. Так что открытость ОС имеет как плюсы, так и минусы (подобные описанным выше).