Изследователи от екипа за мобилни изследвания на McAfee са открили нов зловреден софтуер, наречен HiddenAds, в Google Play Store, който се представя за програма за почистване на системата за изтриване на нежелани файлове в устройствата или за програма, която може да помогне за оптимизиране на живота на батерията за управление на устройствата.
Заразените приложения се крият и рекламират агресивно във Facebook, като показват на жертвите непрекъснати реклами по различни начини. Когато този зловреден софтуер бъде инсталиран на устройството на жертвата, той автоматично стартира зловредни услуги при инсталирането си, дори без да е необходимо каквото и да е взаимодействие от страна на потребителя за отваряне на приложенията.
За да популяризират тези приложения сред нови потребители, авторите на зловредния софтуер са създали рекламни страници във Facebook, тъй като това е връзката към Google Play, разпространявана чрез легитимни социални медии, което оставя малко място за съмнение на потребителите.
Рекламните приложения злоупотребяват с компонента Contact Provider за Android, който позволява прехвърлянето на данни между устройството и онлайн услугите. За тази цел Google предоставя класа ContactsContract, който е договорът между доставчика на контакти и приложенията.
“В ContactsContract има клас, наречен Directory. Директорията представлява корпус от контакти и е реализирана като доставчик на съдържание със свой уникален авторитет. Така че разработчиците могат да го използват, ако искат да имплементират персонализирана директория. Доставчикът на контакти може да разпознае, че приложението използва потребителска директория, като проверява специални метаданни в манифестния файл”, пише McAfee в публикация в блога.
“Важното е, че Contact Provider автоматично препитва новоинсталирани или заменени пакети. По този начин инсталирането на пакет, съдържащ специални метаданни, винаги ще извиква автоматично Доставчика на контакти”.
Първата дейност на този зловреден софтуер е да създаде постоянна услуга за показване на реклами. Ако процесът на услугата бъде “убит” (прекратен), той се възстановява незабавно.
Според McAfee потребителите вече са инсталирали тези приложения от 100 хил. до над 1 млн. По-долу е даден списък с необичайно високите бройки за изтегляне на такива приложения:
Junk Cleaner, cn.junk.clean.plp, над 1 млн. изтегляния
EasyCleaner, com.easy.clean.ipz, 100K+ изтегляния
Power Doctor, power.doctor.mnb, 500K+ изтегляния
Super Clean, com.super.clean.zaz, 500K+ изтегляния
Full Clean-Clean Cache, org.stemp.fll.clean, 1M+ изтегляния
Fingertip Cleaner, com.fingertip.clean.cvb, 500K+ изтегляния
Бързо почистване, org.qck.cle.oyo, 1M+ изтегляния
Keep Clean, org.clean.sys.lunch, 1M+ изтегляния
Windy Clean, in.phone.clean.www, 500K+ изтегляния
Carpet Clean, og.crp.cln.zda, 100K+ изтегляния
Cool Clean, syn.clean.cool.zbc, 500K+ изтегляния
Strong Clean, in.memory.sys.clean, 500K+ изтегляния
Meteor Clean, org.ssl.wind.clean, 100K+ изтегляния
Повечето от засегнатите потребители принадлежат към страни като Южна Корея, Япония и Бразилия. McAfee вече е разкрила тази заплаха пред Google и всички докладвани приложения са били премахнати от гиганта за търсене от Play Store.
В случай че имате инсталирано някое от гореспоменатите приложения на вашия смартфон с Android, препоръчвам ви да ги деинсталирате ръчно от устройството.