Специалисты ESET обнаружили на сервисе Google Play очередную партию вредоносных и нежелательных приложений. Они маскируются под легитимные программы и/или используют методы социальной инженерии для увеличения рейтинга. Общее число загрузок «героев» этого обзора превышает полтора миллиона, причем в большинстве ситуаций изучение отзывов пользователей в сервисе Google Play позволило бы избежать установки потенциально опасного ПО.
Фальшивые обещания как бизнес-модель
Обширная категория этих рекламных приложений на Google Play использовала методы социальной инженерии, выпрашивая у пользователей высокие оценки – это повышало число последующих загрузок.
Как правило, в описании приложения перечислялись несуществующие функции. После установки на экран устройства выводилось всплывающее сообщение, обещающее продолжение инсталляции или разблокировку полной версии за высокую оценку на Google Play. Как результат, приложения имели неправдоподобно высокий рейтинг, их выдавали только отзывы разочарованных пользователей.
Классический пример – поддельная игра Subway Sonic Surf Jump, которая выпрашивала оценку 5*, обещая открыть полный доступ к функциям, а по факту показывала один рекламный баннер за другим. Приложение установили больше 500 тысяч пользователей, средний рейтинг составил 4,1 балла, высокие оценки сопровождались возмущенными комментариями.
Примерно так же действовали и другие популярные (по рейтингу) приложения – Anime Wallpapers HD и Latest online movies. Они «продавали» отсутствующие функции за 5*, привлекая пользователей, не читающих отзывы.
Еще один способ выпросить высокую оценку – назойливая реклама. Некоторые приложения демонстрировали рекламные объявления во всплывающих окнах и обещали удалить их в обмен на пятибалльный рейтинг.
Понятно, что это пустые обещания, но у авторов нет другого способа улучшить рейтинг. Их не останавливает даже прямой запрет накруток, предусмотренный правилами Google Play Developer Policy.
Android/Hiddad.BZ: рекламный троян, накручивающий рейтинг
Среди приложений, накручивающих рейтинг, выделяется мобильный троян для показа рекламы Android/Hiddad.BZ.
Программа маскировалась под инструмент для загрузки контента с YouTube – семь приложений с названиями типа Tube.Mate и Snaptube. Их установили до 5000 пользователей.
Вредоносное ПО использует ряд методов, чтобы убедить пользователей установить дополнительный компонент, показывающий рекламу, и при этом поставить приложению высокую оценку на Google Play.
После установки все семь приложений отображались на устройстве как Music Mania. Кликнув по соответствующей иконке, пользователь запускал загрузку компонента для показа рекламы. Для этого программа выводила на экран сообщение, предлагающее установку «плагина для Android», и блокировала экран до нажатия INSTALL. Далее программа запрашивала права администратора устройства тем же способом – выводя на экран еще одно сообщение.
Получив права администратора, программа демонстрировала пользователю рекламные баннеры и предлагала оценить приложение в 5*, чтобы избавиться от назойливого контента. Удалять сообщения бесполезно – рекламных баннеров будет еще больше, что в перспективе вынуждает пользователя оценить программу, когда предложение появится снова.
Чтобы очистить устройство от Android/Hiddad.BZ, нужно отключить ему права администратора, вручную удалить дополнительный плагин, а затем и само приложение (Music Mania) через Менеджер приложений. Если у вас установлен мобильный антивирус, он также детектирует и удалит эту угрозу.
Android/TrojanDownloader.Agent.JL: троян-загрузчик с рекламным модулем
Следующая категория вредоносного ПО на Google Play, обнаруженная специалистами ESET, – троян-загрузчик, демонстрирующий на зараженном устройстве рекламу. Такое содержимое выявлено у 14 приложений, маскирующихся под моды Minecraft. Вредоносное ПО загрузили в общей сложности до 80 тысяч раз.
Как и Android/Hiddad.BZ, троян использует для показа рекламы дополнительные компоненты. Рекламный модуль не является частью оригинального приложения – он должен быть загружен из сети и установлен пользователем вручную после запуска.
Приложение не имеет реальных функций и показывает назойливую рекламу. Как результат, его выдает низкий рейтинг и негативные отзывы.
После запуска приложение запрашивает права администратора устройства. Когда режим администратора активирован, на экране отображается сообщение с кнопкой INSTALL MOD. Одновременно push-уведомление информирует пользователя о том, что для продолжения инсталляции необходим дополнительный модуль Block Launcher Pro.
В процессе установки модуля пользователю предлагается наделить его рядом разрешений (включая права администратора). Дополнительные компоненты, которые устанавливаются в процессе, детектируются продуктами ESET NOD32 как Android/Hiddad.DA. Единственная функция такого приложения и дополнительного модуля – показ рекламы.
Интересно, что этот троян-загрузчик представляет собой усовершенствованную версию приложения, которое впервые появилось на Google Play в феврале. В той версии использовался похожий интерфейс, она тоже запрашивала права администратора, но не имела функционала для загрузки и, в отличие от нынешней, действительно содержала моды Minecraft.
Обновленная версия загрузчика теоретически может загружать на устройство жертвы любое ПО. Нет повода полагать, что авторы трояна ограничатся показом рекламы. Отработав схему обхода системы безопасности сервиса Google Play и обмана пользователей, они рано или поздно предпримут следующий шаг – распространение более опасных вредоносных программ.
Шанс увидеть и установить одно из вредоносных приложений при загрузке модов Minecraft довольно велик. Чтобы избавиться от загрузчика, можно использовать надежный мобильный антивирус или устранить угрозу вручную в Менеджере приложений, предварительно отключив права администратора для приложения и модуля-загрузчика.
Android/FakeApp.FG: приложение для перенаправления на сайты мошенников
Еще 73 поддельных мода Minecraft используют классическую схему, перенаправляя пользователя на сайты мошенников. Эти приложения обнаруживаются как Android/FakeApp.FG, они были установлены до 910 тысяч раз.
После запуска приложение отображает сообщение с кнопкой DOWNLOAD. Нажатие кнопки не загрузит какие-либо моды, а вместо этого перенаправит пользователя на сайт, открывающийся в установленном по умолчанию браузере. На сайтах представлен всевозможный навязчивый контент – реклама, опросы, «розыгрыши», купоны, поддельные обновления ПО и сообщения о вирусах. Сообщения локализованы – в зависимости от IP-адреса пользователя.
Android/FakeApp.FG можно удалить вручную в Менеджере приложений или воспользоваться мобильным антивирусом.
Профилактика
Даже обнаружив вредоносное ПО, накручивающее рейтинг на Google Play, мы не отказываемся от главного совета – проверяйте приложение до загрузки. Помимо средней оценки, важно проверить отзывы пользователей. Как доказали перечисленные эпизоды, пользователи пишут честные отзывы, даже (особенно) если их уже убедили поставить завышенную оценку.
Образцы
Android/Hiddad.BZ:
Android/FakeApp.FG:
За обзоры вредоносных приложений отдельное спасибо вирусному эксперту Лукашу Стефанко.
На всякий случай напомним, что от подобных угроз защищает мобильный антивирус ESET NOD32.
Фальшивые обещания как бизнес-модель
Обширная категория этих рекламных приложений на Google Play использовала методы социальной инженерии, выпрашивая у пользователей высокие оценки – это повышало число последующих загрузок.
Как правило, в описании приложения перечислялись несуществующие функции. После установки на экран устройства выводилось всплывающее сообщение, обещающее продолжение инсталляции или разблокировку полной версии за высокую оценку на Google Play. Как результат, приложения имели неправдоподобно высокий рейтинг, их выдавали только отзывы разочарованных пользователей.
Классический пример – поддельная игра Subway Sonic Surf Jump, которая выпрашивала оценку 5*, обещая открыть полный доступ к функциям, а по факту показывала один рекламный баннер за другим. Приложение установили больше 500 тысяч пользователей, средний рейтинг составил 4,1 балла, высокие оценки сопровождались возмущенными комментариями.
Примерно так же действовали и другие популярные (по рейтингу) приложения – Anime Wallpapers HD и Latest online movies. Они «продавали» отсутствующие функции за 5*, привлекая пользователей, не читающих отзывы.
Еще один способ выпросить высокую оценку – назойливая реклама. Некоторые приложения демонстрировали рекламные объявления во всплывающих окнах и обещали удалить их в обмен на пятибалльный рейтинг.
Понятно, что это пустые обещания, но у авторов нет другого способа улучшить рейтинг. Их не останавливает даже прямой запрет накруток, предусмотренный правилами Google Play Developer Policy.
Android/Hiddad.BZ: рекламный троян, накручивающий рейтинг
Среди приложений, накручивающих рейтинг, выделяется мобильный троян для показа рекламы Android/Hiddad.BZ.
Программа маскировалась под инструмент для загрузки контента с YouTube – семь приложений с названиями типа Tube.Mate и Snaptube. Их установили до 5000 пользователей.
Вредоносное ПО использует ряд методов, чтобы убедить пользователей установить дополнительный компонент, показывающий рекламу, и при этом поставить приложению высокую оценку на Google Play.
После установки все семь приложений отображались на устройстве как Music Mania. Кликнув по соответствующей иконке, пользователь запускал загрузку компонента для показа рекламы. Для этого программа выводила на экран сообщение, предлагающее установку «плагина для Android», и блокировала экран до нажатия INSTALL. Далее программа запрашивала права администратора устройства тем же способом – выводя на экран еще одно сообщение.
Получив права администратора, программа демонстрировала пользователю рекламные баннеры и предлагала оценить приложение в 5*, чтобы избавиться от назойливого контента. Удалять сообщения бесполезно – рекламных баннеров будет еще больше, что в перспективе вынуждает пользователя оценить программу, когда предложение появится снова.
Чтобы очистить устройство от Android/Hiddad.BZ, нужно отключить ему права администратора, вручную удалить дополнительный плагин, а затем и само приложение (Music Mania) через Менеджер приложений. Если у вас установлен мобильный антивирус, он также детектирует и удалит эту угрозу.
Android/TrojanDownloader.Agent.JL: троян-загрузчик с рекламным модулем
Следующая категория вредоносного ПО на Google Play, обнаруженная специалистами ESET, – троян-загрузчик, демонстрирующий на зараженном устройстве рекламу. Такое содержимое выявлено у 14 приложений, маскирующихся под моды Minecraft. Вредоносное ПО загрузили в общей сложности до 80 тысяч раз.
Как и Android/Hiddad.BZ, троян использует для показа рекламы дополнительные компоненты. Рекламный модуль не является частью оригинального приложения – он должен быть загружен из сети и установлен пользователем вручную после запуска.
Приложение не имеет реальных функций и показывает назойливую рекламу. Как результат, его выдает низкий рейтинг и негативные отзывы.
После запуска приложение запрашивает права администратора устройства. Когда режим администратора активирован, на экране отображается сообщение с кнопкой INSTALL MOD. Одновременно push-уведомление информирует пользователя о том, что для продолжения инсталляции необходим дополнительный модуль Block Launcher Pro.
В процессе установки модуля пользователю предлагается наделить его рядом разрешений (включая права администратора). Дополнительные компоненты, которые устанавливаются в процессе, детектируются продуктами ESET NOD32 как Android/Hiddad.DA. Единственная функция такого приложения и дополнительного модуля – показ рекламы.
Интересно, что этот троян-загрузчик представляет собой усовершенствованную версию приложения, которое впервые появилось на Google Play в феврале. В той версии использовался похожий интерфейс, она тоже запрашивала права администратора, но не имела функционала для загрузки и, в отличие от нынешней, действительно содержала моды Minecraft.
Обновленная версия загрузчика теоретически может загружать на устройство жертвы любое ПО. Нет повода полагать, что авторы трояна ограничатся показом рекламы. Отработав схему обхода системы безопасности сервиса Google Play и обмана пользователей, они рано или поздно предпримут следующий шаг – распространение более опасных вредоносных программ.
Шанс увидеть и установить одно из вредоносных приложений при загрузке модов Minecraft довольно велик. Чтобы избавиться от загрузчика, можно использовать надежный мобильный антивирус или устранить угрозу вручную в Менеджере приложений, предварительно отключив права администратора для приложения и модуля-загрузчика.
Android/FakeApp.FG: приложение для перенаправления на сайты мошенников
Еще 73 поддельных мода Minecraft используют классическую схему, перенаправляя пользователя на сайты мошенников. Эти приложения обнаруживаются как Android/FakeApp.FG, они были установлены до 910 тысяч раз.
После запуска приложение отображает сообщение с кнопкой DOWNLOAD. Нажатие кнопки не загрузит какие-либо моды, а вместо этого перенаправит пользователя на сайт, открывающийся в установленном по умолчанию браузере. На сайтах представлен всевозможный навязчивый контент – реклама, опросы, «розыгрыши», купоны, поддельные обновления ПО и сообщения о вирусах. Сообщения локализованы – в зависимости от IP-адреса пользователя.
Android/FakeApp.FG можно удалить вручную в Менеджере приложений или воспользоваться мобильным антивирусом.
Профилактика
Даже обнаружив вредоносное ПО, накручивающее рейтинг на Google Play, мы не отказываемся от главного совета – проверяйте приложение до загрузки. Помимо средней оценки, важно проверить отзывы пользователей. Как доказали перечисленные эпизоды, пользователи пишут честные отзывы, даже (особенно) если их уже убедили поставить завышенную оценку.
Образцы
Android/Hiddad.BZ:
Android/FakeApp.FG:
За обзоры вредоносных приложений отдельное спасибо вирусному эксперту Лукашу Стефанко.
На всякий случай напомним, что от подобных угроз защищает мобильный антивирус ESET NOD32.
Поделиться с друзьями
Комментарии (18)
serafims
30.03.2017 12:54В итоге теперь рецепт такой: если просит скачать аддон и тем более ставить галку в настройках — лесом, лесом.
Ну и отзывы текстовые…
dikkini
30.03.2017 12:56-11Купите iPhone и не переживайте :-)
Leoon
30.03.2017 15:16-6Ты из какого века сюда забрался? Айфон — это панты, которые стоят в 5 раз дороже нормального телефона!
Leoon
30.03.2017 15:21-6Айфоны давно покупают те, кому не функции телефона нужны, а перед другими попантоватся, что я КРУТОЙ, могу себе айфон позволить!
Мой телефон на андроиде снимает в 4к видео, имеет 6 ядер по 1.8, дисплей с разрешением 1920х1080 и держит батарею 2 дня. Стоимость 11 000р.
А твой Айфон что может за свои деньги?
farcaller
30.03.2017 18:50+2Айфон — это панты
...
Мой телефон на андроиде снимает в 4к видео, имеет 6 ядер по 1.8, дисплей с разрешением 1920х1080 и держит батарею 2 дня. Стоимость 11 000р.
А твой Айфон что может за свои деньги?Вы сами себе противоречите, кажется?
FiLunder7
31.03.2017 10:01Ну вот о вирусах на ios можно не думать. Можно не думать о том, что очередная скачанная игра не уведет данные твоего логина в сбербанк-мобайл. Какой — никакой, а плюс. И вы все-таки излишне эмоциональны и категоричны. Айфоны давно вполне себе функциональны (а если их использовать в родной экосистеме то и подавно).
bobnadyl
30.03.2017 20:26+1поддерживаю, не понимаю за что минусят Вас. сейчас самому прилетит наверное)
GWhiskas
30.03.2017 20:26+3К слову о Google Play.
Я не понимаю, почему есть только следующие пункты сортировки отзывов.
— Сначала полезные
— Сначала новые
— По убыванию оценки
А по «возрастанию оценки» когда завезут?
Deosis
31.03.2017 06:54Судя по описанию все требуют прав администратора.
Какие права дает администратор для нормальных приложений, без которых не обойтись?
У самого старый кирпич, так что с этим не сталкивался.
Happy_dayZ
06.04.2017 09:31Маркеты должны бороться с этим. А вообще, статья — просто реклама антивирусника.
Ugrum
Краткое содержание статьи:
«Use your brain.*
*If you have it»
IRainman
На самом деле не только. Социальная инженерия потому и работает что использование мозга проблему не решает. Вот, например, даже профессор физики, который по просьбе своей новой возлюбленной, которую живьём не видел ни разу перевёз её «забытый багаж» полный наркотических препаратов с одного континента на другой. А тут всего лишь пару кликов сделать по кнопке «сделать мне хорошо», «дать мне то что мне нужно» и при этом даже оплат производить не нужно :)
Так что тут практически типичный Russian-reversal: мы имеем мозг, а мозг биохимией имеет нас. Главная уязвимость всегда была есть и будет в человеке, собственно потому безо всяких технологий мошенники успешны уже многие тысячелетия и до сих пор эффективны даже выставки ослов ;)