Анализ угроз

Вредоносное ПО под маской селфи-приложений из Google Play

Threat Intelligence Team, 1 апреля 2019

Наш сервис для анализа мобильных угроз обнаружил три приложения из Google Play с фильтрами для селфи, использование которых приводило к неприятным последствиям. Они были скачаны более 2 миллиона раз.

В феврале 2019 года apklab.io — разработанная нами платформа, которая анализирует угрозы для мобильных устройств, обнаружила в магазине Google Play несколько безобидных, на первый взгляд, селфи-приложений, которые на деле содержат рекламные и шпионские программы: Pro Selfie Beauty Camera, Selfie Beauty Camera Pro и Pretty Beauty Camera - 2019.

В описании программ утверждается, что они применяют фильтры к сделанным фотографиям, изменяя внешность людей. Но основным содержанием этих приложений являются рекламное ПО, которое агрессивно отображает рекламу, а также шпионские программы, способные совершать звонки, получать сведения о местоположении устройства и изменять его сетевой статус.

Эти приложения были установлены не менее 500 000 раз, а Pretty Beauty Camera - 2019 — более миллиона раз. Как показывают наши данные, большая часть установок выполнена индийскими пользователями Android-устройств.

Приложения получили тысячи обзоров с преимущественно низкими оценками и сообщениями о том, что они не работают, но отображают рекламу. Но есть и несколько положительных, скорее всего фейковых, отзывов.

pro-selfie-beauty-app-listing[1]

Скрытая красота

После установки и запуска программ пользователь наблюдает навязчивую демонстрацию рекламы. И это не ограничивается интерфейсом приложения: полноэкранная реклама отображается вне программы даже после перезапуска телефона. Частота появления рекламы определяется файлом, загруженным с удаленного управляющего сервера.

2-hiding-app-icon-code

Кроме того, от приложений сложно избавиться: их значки зачастую отсутствуют в интерфейсе запуска приложений Android, поэтому пользователь не может просто перетащить их в корзину. Вероятно, создатели подобных программ хотели заработать на показе пользователям рекламы.

За каждое показанное рекламное сообщение злоумышленники получают деньги от рекламодателей. Поэтому они усложняют процесс удаления программ, чтобы показать больше рекламы и получить больше денег. Приложения проверяют наличие различных лаунчеров, включая Apex, HTC Sense, 360 Launcher, QQ Launcher, Huawei, OPPO, LG и Samsung. Если один из них будет найдено на устройстве, приложение автоматически удалит свой значок.

3-check-for-launchers

Помимо отображения рекламы такие приложения способны совершать телефонные звонки, записывать разговоры, изменять состояние сети, брать под контроль другие приложения, считывать данные из внешнего хранилища устройства и выполнять другие задачи.

Ниже приведен итоговый отчет платформы apklab.io от Avast, который содержит весь список возможностей таких программ.

4-capabilities-of-adware-app

Сделано в Китае

Некоторые признаки указывают на то, что автор программы может находиться в Китае. Например, один из адресов электронной почты разработчика — songshijie19711110@gmail.com. Это транслитерация китайского имени. Кроме того, в коде есть несколько упрощенных китайских слов (в частности, в конфигурации, в файле params.txt).

Приложения используют инструмент Tencent Bugly, который предоставляет разработчикам отчеты о сбоях и позволяет отправлять уведомления об обновлении своих приложений. Наконец, перечень лаунчеров, наличие которых проверяют приложение для маскировки своего значка, содержит программы, доступные в Китае.

5-screenshots-of-apps-in-play-store[1]

Результаты нашей внутренней телеметрии, проведенной платформой apklab.io, и отзывы в магазине Google Play показывают, что большинство жертв находится в Индии. Кроме того, в число пострадавших стран попали Мьянма и Индонезия.

7-countries-targeted

Результаты внутренней телеметрии последней версии приложения com.selfie.beauty.candy.camera.pro, показывающее основные регионы загрузки.

Некоторые приложения до сих пор используют протокол HTTP для обновления параметров рекламы с удаленного сервера.

8-http-requests

Снимок трассировок сети со смесью рекламы и аналитики Bugly

9-configuration-update

Снимок обновления конфигурации с удаленного сервера d3pukqxlxhielm.cloudfront.net 

10-config-json

Снимок файла config.json с d3pukqxlxhielm.cloudfront.net

Жанр приложений и используемый рекламным ПО удаленный сервер наводят на мысль, что они могут иметь отношение к вредоносным программам, о которых сообщала компания Trend Micro.

Как защититься?

1. Установите антивирусное ПО

Например, программу Avast Mobile Security, которая обнаруживает подобные приложения, защищая пользователей от назойливой рекламы.

2. Загружайте приложения от проверенных разработчиков

Хотя магазин Google Play считается надежной платформой, стоит соблюдать осторожность и проверять репутацию разработчиков приложений.

3. Читайте описание приложения и отзывы

Большое количество ошибок в тексте может стать весомым поводом усомниться в его благонадежности. Преобладание недовольных отзывов и упоминание рекламы — еще один сигнал, призывающий не загружать приложение.

4. Сразу же удаляйте приложения, обнаружив подозрительное поведение.

Следите за нашими новостями в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter