СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
22 мая
#ИБ

Россиян предупредили, что приложения из Google Play превращают миллионы смартфонов в невидимую рекламную ферму

Россиян предупредили, что приложения из Google Play превращают миллионы смартфонов в невидимую рекламную ферму

Изображение: recraft

Пользователей Android снова предупреждают о крупной мошеннической кампании, задевшей миллионы устройств по всему миру. Исследователи Satori раскрыли схему Trapdoor, где сотни вроде бы обычных приложений из Google Play после установки подсовывали человеку фальшивое обновление, а затем запускали скрытую рекламную машину. По данным Human Security, на пике кампания накручивала до 659 млн рекламных bid-запросов в день.

Специалисты Satori сообщили, что в Trapdoor задействовали 455 приложений и 183 домена управления. Старт выглядел вполне невинно. В Google Play появлялись утилиты под видом обычных PDF-читалок и похожих полезных программ. Вели они себя спокойно:

  • работали нормально, как и положено;
  • не просили странных разрешений;
  • не пытались сразу слить данные пользователя на внешний сервер.

На первый взгляд перед людьми были те самые скучные приложения, которые скачивают один раз, чтобы быстро открыть файл или закрыть бытовую задачу.

После установки начиналась настоящая магия с неприятным запахом рекламного мошенничества. Приложение выкидывало всплывающее окно с предложением обновиться. На деле это «обновление» оказывалось подменой, после которой на устройство садилось уже совсем другое приложение. Вело оно себя тихо. Подгружало невидимые WebView, открывало HTML5-домены под контролем злоумышленников и принималось запрашивать рекламу.

Любопытно, что главную фишку Trapdoor сам владелец смартфона никогда не видел.

Эту рекламу не показывали человеку вовсе. Телефон тихо подрабатывал рекламным призраком, а мошенники зарабатывали на фиктивных показах. Деньги уходили от рекламодателей и компаний, которые покупали продвижение через рекламные сети и были уверены, что объявления видят реальные люди. На практике значительная часть активности крутилась внутри скрытых окон на заражённых Android-устройствах.

По данным Human Security, размах оказался серьёзным:

  • на пике Trapdoor обрабатывал 659 млн запросов на ставки в день;
  • рекламодатели ежедневно участвовали в аукционах за сотни миллионов фейковых рекламных возможностей;
  • приложения схемы скачали более 24 млн раз.

Для мобильной экосистемы это уже не мелкая афера с парой подозрительных APK, а собранный конвейер с дистрибуцией, маскировкой и монетизацией.

После передачи информации в Google компания вычистила все найденные вредоносные приложения из Google Play. Пользователям советуют пройтись по установленным программам и снести любые приложения из списка, связанного с Trapdoor. Аккуратнее стоит относиться к утилитам, которые после установки внезапно требуют поставить «обновление» не через привычный механизм магазина, а через отдельное окно или мутный процесс.

В Human Security отметили, что Trapdoor хорошо показывает, как угрозы для цифровой рекламы перестали делиться на простые категории. Кампания сшивает в один цикл сразу несколько вещей:

  • вредоносное распространение приложений;
  • скрытое рекламное мошенничество;
  • финансирование новых волн за счёт уже полученного дохода.

Вредоносная реклама пригоняет новые установки, установленные приложения генерируют фальшивый рекламный доход, а этот доход подпитывает следующие кампании.

Раньше сообщалось, что Google запускает Android Intrusion Logging для поиска следов заражения Android-устройств шпионским ПО. Функция появилась 12 мая в составе Android Advanced Protection Mode и рассчитана прежде всего на пользователей высокого риска. К ним относят журналистов, правозащитников, политиков, активистов, руководителей и специалистов с доступом к чувствительным данным.

Стоит обратить внимание, что такой инструмент нужен там, где обычной проверки приложений уже не хватает.

Также ранее Google поменяла программы выплат за найденные уязвимости в Android и Chrome. За самые сложные цепочки атак компания готова отдать до 1,5 млн долларов. Максимальная сумма зарезервирована за zero-click атаку на чип Pixel Titan M2 с закреплением в системе. За более простые баги выплаты при этом могут снижаться, ведь часть таких ошибок теперь проще ловить при помощи ИИ.

Эксперты редакции CISOCLUB уверены, что Trapdoor опасен не масштабом скачиваний, а своей незаметностью. Пользователь не теряет данные и не видит ни одной лишней рекламы, поэтому повода для тревоги у него попросту не возникает — а смартфон тем временем годами работает на чужой кошелёк, и единственная защита тут — это привычка не ставить обновления мимо магазина.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: