Троянцы-кликеры — распространенные вредоносные программы для накрутки посещений веб-сайтов и монетизации онлайн-трафика. Они имитируют действия пользователей на веб-страницах, нажимая на расположенные на них ссылки и другие интерактивные элементы. Вирусные аналитики «Доктор Веб» выявили очередного такого троянца в Google Play.

Троянец представляет собой вредоносный модуль, который по классификации Dr.Web получил имя Android.Click.312.origin. Он встроен в обычные приложения — словари, онлайн-карты, аудиоплееры, сканеры штрих-кодов и другое ПО. Все эти программы работоспособны, и для владельцев Android-устройств выглядят безобидными. Кроме того, при их запуске Android.Click.312.origin начинает вредоносную деятельность лишь через 8 часов, чтобы не вызвать подозрений у пользователей.


Начав работу, троянец передает на управляющий сервер следующую информацию о зараженном устройстве:


  • производитель и модель;
  • версия ОС;
  • страна проживания пользователя и установленный по умолчанию язык системы;
  • идентификатор User-Agent;
  • наименование мобильного оператора;
  • тип интернет-соединения;
  • параметры экрана;
  • временная зона;
  • информация о приложении, в которое встроен троянец.

В ответ сервер отправляет ему необходимые настройки. Часть функций вредоносного приложения реализована с использованием рефлексии, и в этих настройках содержатся имена методов и классов вместе с параметрами для них. Эти параметры применяются, например, для регистрации приемника широковещательных сообщений и контент-наблюдателя, с помощью которых Android.Click.312.origin следит за установкой и обновлением программ.


При инсталляции нового приложения или скачивании apk-файла клиентом Play Маркет троянец передает на управляющий сервер информацию об этой программе вместе с некоторыми техническими данными об устройстве. В ответ Android.Click.312.origin получает адреса сайтов, которые затем открывает в невидимых WebView, а также ссылки, которые он загружает в браузере или каталоге Google Play.


Таким образом, в зависимости от настроек управляющего сервера и поступающих от него указаний троянец может не только рекламировать приложения в Google Play, но и незаметно загружать любые сайты, в том числе с рекламой (включая видео) или другим сомнительным содержимым. Например, после установки приложений, в которые был встроен этот троянец, пользователи жаловались на автоматические подписки на дорогостоящие услуги контент-провайдеров.



Android.Backdoor.736.origin #drweb


Android.Backdoor.736.origin #drweb


Android.Backdoor.736.origin #drweb



Android.Backdoor.736.origin #drweb


Специалистам «Доктор Веб» не удалось воссоздать условия для загрузки троянцем таких сайтов, однако потенциальная реализация этой мошеннической схемы в случае с Android.Click.312.origin достаточно проста. Поскольку троянец сообщает управляющему серверу информацию о типе текущего интернет-соединения, то при наличии подключения через сеть мобильного оператора сервер может передать команду на открытие веб-сайта одного из партнерских сервисов, поддерживающих технологию WAP-Сlick. Эта технология упрощает подключение различных премиальных сервисов, однако часто применяется для незаконной подписки пользователей на премиум-услуги. Указанную проблему наша компания освещала в 2017 и 2018 годах. В некоторых случаях для подключения ненужной услуги не требуется подтверждение пользователя — за него это сможет сделать скрипт, размещенный на той же странице, или же сам троянец. Он и «нажмет» на кнопку подтверждения. А поскольку Android.Click.312.origin откроет страницу такого сайта в невидимом WebView, вся процедура пройдет без ведома и участия жертвы.


Вирусные аналитики «Доктор Веб» выявили 34 приложения, в которые был встроен Android.Click.312.origin. Их установили свыше 51 700 000 пользователей. Кроме того, модификацию троянца, получившую имя Android.Click.313.origin, загрузили по меньшей мере 50 000 000 человек. Таким образом, общее число владельцев мобильных устройств, которым угрожает этот троянец, превысило 101 700 000. Ниже представлен список программ, в которых был найден этот кликер:



GPS Fix
QR Code Reader
ai.type Free Emoji Keyboard
Cricket Mazza Live Line
English Urdu Dictionary Offline — Learn English
EMI Calculator — Loan & Finance Planner
Pedometer Step Counter — Fitness Tracker
Route Finder
PDF Viewer — EBook Reader
GPS Speedometer
GPS Speedometer PRO
Notepad — Text Editor
Notepad — Text Editor PRO
Who unfriended me?
Who deleted me?
GPS Route Finder & Transit: Maps Navigation Live
Muslim Prayer Times & Qibla Compass
Qibla Compass — Prayer Times, Quran, Kalma, Azan
Full Quran MP3 — 50+ Audio Translation & Languages
Al Quran Mp3 — 50 Reciters & Translation Audio
Prayer Times: Azan, Quran, Qibla Compass
Ramadan Times: Muslim Prayers, Duas, Azan & Qibla
OK Google Voice Commands (Guide)
Sikh World — Nitnem & Live Gurbani Radio
1300 Math Formulas Mega Pack
Обществознание — школьный курс. ЕГЭ и ОГЭ.
Bombuj — Filmy a serialy zadarmo
Video to MP3 Converter, RINGTONE Maker, MP3 Cutter
Power VPN Free VPN
Earth Live Cam — Public Webcams Online
QR & Barcode Scanner
Remove Object from Photo — Unwanted Object Remover
Cover art IRCTC Train PNR Status, NTES Rail Running Status

Компания «Доктор Веб» передала информацию об этом троянце в корпорацию Google, после чего некоторые из найденных программ были оперативно удалены из Google Play. Кроме того, для нескольких приложений были выпущены обновления, в которых троянский компонент уже отсутствует. Тем не менее, на момент публикации этой новости большинство приложений все еще содержали вредоносный модуль и оставались доступными для загрузки.


Вирусные аналитики рекомендуют разработчикам ответственно выбирать модули для монетизации приложений и не интегрировать сомнительные SDK в свое ПО. Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют программы, в которые встроены известные модификации троянца Android.Click.312.origin, поэтому для наших пользователей он опасности не представляет.


Подробнее об Android.Click.312.origin

Комментарии (19)


  1. vahagnsirunyan
    12.08.2019 13:59

    Ага, я что-то подобное загрузил. Теперь чем бы я нибыл занят, вдруг реклама появляется, чувствую себя как в сериале черное зеркало. Как от него избавиться без хард ресета?


    1. dimonoid
      12.08.2019 14:32

      Adguard установите.


      1. doctorweb Автор
        12.08.2019 14:48

        очень смешно


        1. Ivanii
          12.08.2019 15:36

          Дрвеб бесплатный из маркета прибьет?
          Стоит ли Дрвеб бесплатный из маркета активировать в полноценный халявно имея лицензии на винде?


          1. doctorweb Автор
            12.08.2019 15:41
            +2

            Антивирусные продукты Dr.Web для Android успешно детектируют и удаляют программы, в которые встроены известные модификации троянца Android.Click.312.origin, поэтому для наших пользователей он опасности не представляет.
            — да, прибьет.

            Также если есть лицензия на ПК, то в подарок одна для любого мобильного устройства.


            1. Ivanii
              12.08.2019 15:47

              Я знаю, что есть подарочная лицензия, вопрос в том стоит ли ее активировать на смартфоне или после активации включится куча ненужного и добавится тормозов?


              1. doctorweb Автор
                12.08.2019 15:56
                +1

                вы же понимаете, что не попробовав — не поймешь. Мы и дарим лицензию на гаджет, чтобы была максимальная защита.

                вопрос в том стоит ли ее активировать на смартфоне

                да, стоит. Вдобавок к АВ вы получите возможность URL фильтрации, Родительский контроль (если вдруг дети любят играть с вашим телефоном), брандмауэр, функцию Антивор — все настраивается.

                после активации включится куча ненужного и добавится тормозов

                Своевременно обновляем приложение и адаптируем под любые сборки мобильных ОС. По себе лично скажу, что не замечал. У меня тоже стоит.


                1. Godless
                  13.08.2019 16:27

                  Только ведь фильтр смс и антивор работать будут только после установки отдельного APK с сайта. так ведь?
                  Кстати в этом направлении ожидаются изменения, или гугл неприклонен?


                  1. doctorweb Автор
                    13.08.2019 16:44

                    Только ведь фильтр смс и антивор работать будут только после установки отдельного APK с сайта. так ведь?

                    пока так.

                    Переговоры с Google пока не принесли результата.


    1. tmin10
      12.08.2019 14:47

      Какая реклама, от какого приложения?


      1. vahagnsirunyan
        12.08.2019 15:07

        Обычная гугловская реклама — яндекс такси, наши локальные сервисы, игры… просто появляется в любом приложении, от гугл фото и хрома до fbreader


        1. tmin10
          12.08.2019 15:10

          Хм, можно посмотреть активные приложения, может что-то подозрительное есть. В том числе приложения с возможностью рисовать поверх других. Также может стоит проверить девайс админов, может что-то левое есть.


        1. tvr
          12.08.2019 15:15

          просто появляется в любом приложении

          Когда реклама вылезет в следующий раз — сделайте скриншот и станет ясно, какое приложение гадит рекламой.


  1. OnelaW
    12.08.2019 15:46

    102 000 000
    «Миллионы мух не могут ошибаться» уже не шутка.


  1. izuware
    12.08.2019 16:30

    Компания «Доктор Веб» передала информацию об этом троянце в корпорацию Google, после чего некоторые из найденных программ были оперативно удалены из Google Play.
    следует ли из этого что производителям вышеописаного модуля ничего не грозит?


    1. doctorweb Автор
      12.08.2019 16:48
      +1

      мы не Роскомндазор, не ФБР, не ООН. Думаю, можно у них поинтересоваться. Мы предупредили и предотвратили угрозу для наших пользователей.


      1. izuware
        12.08.2019 17:12

        ой, зачем так агрессивно реагировать? Всего лишь хотелось узнать — получилось (случалось) ли установить и передать в соответсвующие органы реквизиты производителя вредоносного ПО?


        1. doctorweb Автор
          12.08.2019 17:14

          ой, зачем так агрессивно реагировать?

          Согласен, если без смайликов, то комментарий выглядит угрожающим ))

          получилось (случалось) ли установить и передать в соответсвующие органы реквизиты производителя вредоносного ПО?

          Скажем так, это не первый для нас опыт.


  1. kjsdfkljslkfdjklsj
    12.08.2019 16:46
    -1

    Проклятый Тим Кук!