Скрытое рекламное ПО эксплуатирует пользователей Android с точным таргетингом

  • Sep 04, 2023

Рекламное ПО Skinner оставалось незамеченным в течение двух месяцев благодаря хитроумной тактике, согласно которой оно основывало рекламу на том, какие приложения в то время использовали 10 000 зараженных жертв.

google-play-store.jpg

Рекламное ПО оставалось незамеченным в магазине Google Play в течение двух месяцев.

Изображение: iStock

Вредоносное ПО, использующее новую точечную тактику распространения рекламного ПО, скрывалось в магазине Google Play в течение двух месяцев и заразило более 10 000 пользователей Android, прежде чем было удалено.

Вредоносная программа под названием «Skinner» будет отображать пользователю нежелательную рекламу, но делает это таким образом, чтобы избежать подозрение, что они являются вредоносными, специально нацеливаясь на них для использования с приложением, которым в данный момент пользуется пользователь. с использованием.

Skinner, обнаруженный исследователями кибербезопасности компании Check Point, — далеко не первый экземпляр вредоносного ПО, обнаруженный в магазине Google Play, но здесь используется новая сложная тактика.

Вместо того, чтобы напрямую заразить как можно больше жертв, в интересах Скиннера быть осторожным и избегать заражения. обнаружение, чтобы не допустить поднятия тревог и продолжить раздачу рекламы для повышения кликабельности доход.
Эти объявления пользователи не увидят, если не заразятся Skinner, и, просматривая их, они приносят разработчикам доход от рекламы. Единственная цель Skinner — получение дохода — он не распространяет дальнейшее вредоносное ПО и не направляет пользователей на вредоносные веб-сайты — в его интересах оставаться вне поля зрения.

Вредоносное ПО было встроено в приложение, которое описывалось как предоставляющее «функции, связанные с игрой», и после загрузки из Google Play оно отслеживает местоположение и действия пользователя, а также возможность выполнять код со своего сервера управления и контроля без разрешения пользователь.

Однако Skinner не начинает свою вредоносную деятельность сразу, а скорее ожидает активности пользователя (например, открытия приложения), чтобы убедиться, что устройство используется реальным пользователем. Вредоносное ПО также проверяет наличие отладочного ПО и то, что приложение было установлено из Google Play; оба метода предназначены для того, чтобы избежать обнаружения исследователями.

Это также незаметно используется, когда речь идет о показе рекламы жертве; вместо того, чтобы просто показывать случайную рекламу, Скиннер проверяет, какой тип приложения пользователь открыл в данный момент, и адаптирует отображаемая реклама выглядит так, как будто она на законных основаниях связана с приложением, что повышает вероятность перехода по ссылке.

Исследователи отмечают, что этот вид «индивидуализированного маркетинга» является «уникальным и весьма инновационным», ссылаясь на то, что, хотя большая часть рекламного ПО опирается на массовые распространение любой ценой, Скиннер способен заразить небольшое количество пользователей, но получить тот же объем доходов, избегая при этом пойманный.

«Чем меньше распространение вредоносного ПО, тем меньше шансов, что оно поднимет тревогу и подвергнется проверке безопасности. Мы считаем, что такая тактика будет принята и усовершенствована другими рекламными программами в ближайшем будущем», — заявили исследователи Check Point. в сообщении в блоге.

Тот факт, что Скиннер использовал собственную обфускацию, а не просто копировал известную технику из других вредоносных программ, затруднял обнаружение. И хотя Google уже удалил его из Play Store, вполне вероятно, что другие группы примут его хитрую тактику в будущем.

«Продвинутые методы уклонения, представленные этим вредоносным ПО, будут только усложняться, подвергая опасности пользователей по всему миру», — говорят исследователи.

Хотя пользователи Android больше не могут загружать Skinner, вполне вероятно, что значительная часть из 10 000, установивших вредоносное ПО, по-прежнему заражены и что эти приложения-призраки по-прежнему приносят доход преступникам.

ZDNet связалась с Google, чтобы прокомментировать, почему вредоносное ПО не было обнаружено в течение двух месяцев, но до сих пор не получила ответа.

ЧИТАЙТЕ БОЛЬШЕ О КИБЕРПРЕСТУПНОСТИ

  • Хакеры используют это вредоносное ПО для Android, чтобы шпионить за израильскими солдатами
  • Аккаунты Google поражены вредоносным ПО: их миллион и их число растет [ВОЗ]
  • Банковский троян для Android маскируется под Super Mario Run
  • Это модульное вредоносное ПО с бэкдором теперь является самой распространенной угрозой для смартфонов Android.
  • Бюллетень по безопасности Android, февраль 2017 г.: что нужно знать [Техреспублика]