Исследователи компании DoctorWeb обнаружили подозрительный код в приложении для управления игрушками для взрослых Love Spouse в магазине Google Play. Приложение содержало троян-кликер, который тайно открывает рекламные сайты и кликает по страницам. Этот тип вредоносного ПО может использоваться для скрытой рекламы, переходов по ссылкам, платных подписок и DDoS-атак. Троян, идентифицированный как Android.Click.414.origin, маскировался под отладочный компонент. Этот же вредонос был обнаружен в приложении для отслеживания физической активности QRunning, которое было выпущено китайскими разработчиками и насчитывало более 1,5 миллиона установок.
Android.Click.414.origin
В приложении Love Spouse внедрение вредоносного кода, судя по всему, произошло недавно, но разработчик уже обновил его, удалив троян в версии 1.8.8. Однако для приложения QRunning обновлений не было. Обнаруженное вредоносное ПО, предположительно, является модификацией другого трояна, Android.Click.410.origin, который был обнаружен в приставке в апреле прошлого года. Было установлено, что на приставке установлена версия Android, отличная от заявленной.
Троян Android.Click.414.origin имеет модульную структуру, в которой разные модули выполняют различные действия. Он получает информацию об устройстве, загружает скрытые веб-страницы, загружает рекламу и кликает по ней. Троян также способен обнаруживать контролируемые среды и сообщать об этом на свой управляющий сервер. Он активируется только на устройствах с некитайским языком интерфейса.
После запуска троян передает подробную информацию об устройстве на свой сервер управления и выполняет различные стратегии. Он загружает веб-сайты с помощью WebView, прокручивает содержимое страниц, вводит текст в формы и отключает звук. Троян также может делать скриншоты отображаемого сайта, анализировать их пиксель за пикселем и определять кликабельные области. Он использует поисковые системы Bing, Yahoo и Google для размещения рекламных ссылок, основанных на ключевых словах.
Первоначально эта вредоносная программа была обнаружена в неофициальных магазинах приложений для Android, но теперь она проникла и в официальный магазин Google Play Store.
Indicators of Compromise
IPv4
- 104.250.52.73
- 128.14.143.26
Domains
- 5.ahd187.com
- capture.airmfly.com
- cn.com.goodsdk.hw.ad
- geo.airmfly.com
- keywords.airmfly.com
- planwm.weatherokye.com
- play.airmfly.com
- stg.airmfly.com
- trends.search-hub.cn
- usae.dsp.dbincome.com
SHA1
- 06c99cf6e53bfe9b730f57a531a4ef5202bafefa
- 159438fcbc60c9988110cb2e3abd6a8c9e94f3c4
- 44bc9a3bcae3d19ccc1fb0429e22df8b407443f9
- 5ee7fee0f817cefe91211006472ffe774ab9ac5d
- 66c09fe739d3477b9e7af996ed3e35115a47e4b1
- 862ae5f2334fcf7bdc37caa4f16076e18a409b6e
- d65ca4d9608411da9bb2e992c1dc710774b145c9
- df8c11d4a1496f81e9ae89fe61e1e67f2926c328
