З Google Play Store видалили 38 шкідливих додатків, завантажених понад 20 млн разів

Аналітики компанії White Ops виявили в Google Play Store 38 шкідливих додатків (список можна побачити тут ), які показували користувачам нав’язливу рекламу і здійснювали небажані перенаправлення в браузерах. Всі ці програми були створені однією злочинною групою.

Шкідлива функціональність в коді додатків була відключена: таким чином оператори малварі намагалися обдурити захисні механізми Google Play Store і проникнути до каталогу.

За даними фахівців, ця хак-група активна з січня 2019 року, саме тоді хакери почали завантажувати додатки до офіційного каталогу Google. Причому 21 з 38 шкідливих додатків угруповання з’явилися в Google Play Store саме на початковому етапі їхньої активності.

Всі додатки хакерів були так чи інакше пов’язані з б’юті-фотографією (серед них були додатки для селфі або з фільтрами до фотографій). Але після встановлення вони починали бомбардувати користувачів рекламою, відкриваючи її в браузерах жертв, а також намагалися максимально ускладнити постраждалим видалення, приховуючи свої іконки.

При цьому дослідники відзначають, що додатки цієї компанії не можна назвати складними або успішними. Хоча adware проходила початкові перевірки Google, в кінцевому підсумку додатки ідентифікувалися як шкідливі і віддалялися. Більшість додатків угруповання пропрацювали перед видаленням лише 17 днів. Втім, навіть за такий короткий термін більшість із них встигала набрати в середньому 565 833 встьановлення, а в цілому рекламну малварі групи завантажили більше 20 000 000 разів.

Враховуючи те, що додатки продовжували видаляти, у вересні 2019 року угруповання змінило тактику і стало докладати більше зусиль для приховання шкідливої ​​складової своїх «продуктів».

По-перше, хакери почали використовувати арабські символи, вставляючи їх у вихідний код додатків. Ідея полягала в тому, щоб не дати інженерам Google помітити явно шкідливу функціональність додатків, використовуючи для цього арабський текст замість англійського (в деяких місцях траплялися навіть цитати з Корану).

По-друге, зловмисники стали повністю видаляти шкідливий код зі своїх додатків. Таким чином, з вересня 2019 року хак-група завантажила до Google Play 15 додатків, і у всіх була відключена шкідлива функціональність. Технічно ці продукти були «чистими», проте через деякий час вони могли оновитися, і шкідливий код міг повернутися на місце.

Потрібно сказати, що в кінцевому підсумку ці хитрощі не спрацювали. Справа в тому, що додатки були завантажені в офіційний каталог вже відомими Google шахраями, тому компанія все одно видалила їх, не бажаючи ризикувати.