Исследователи обнаружили 75 мошеннических приложений в каталоге Google Play и еще десять в App Store. В совокупности они насчитывают 13 миллионов установок и втихую откручивают на устройствах пользователей рекламные показы.
Хотя приложения такого типа обычно не представляют серьезной угрозы, однако операторы весьма легко могут перепрофилировать их для более опасной деятельности. Благо такие прецеденты — когда приложение заметок вдруг становилось казино — уже были.
Исследователи из группы Satori Threat Intelligence компании HUMAN выявили комплект мобильных приложений, которые являются частью новой кампании по мошенничеству с рекламой, названной ими "Сцилла". Они считают, что "Сцилла" — это третья волна операции, которую они обнаружили в августе 2019 года и назвали "Посейдон". Вторая волна, по-видимому, от того же субъекта угроз, называлась "Харибда" и достигла своего апогея к концу 2020 года.
Команда Satori проинформировала Google и Apple о своих выводах, и приложения были удалены из официальных магазинов Android и iOS, однако остались на устройствах пользователей.
Список приложений для iOS:
— Loot the Castle - com.loot.rcastle.fight.battle (id1602634568)
— Run Bridge - com.run.bridge.race (id1584737005)
— Shinning Gun - com.shinning.gun.ios (id1588037078)
— Racing Legend 3D - com.racing.legend.like (id1589579456)
— Rope Runner - com.rope.runner.family (id1614987707)
— Wood Sculptor - com.wood.sculptor.cutter (id1603211466)
— Fire-Wall - com.fire.wall.poptit (id1540542924)
— Ninja Critical Hit - wger.ninjacriticalhit.ios (id1514055403)
— Tony Runs - com.TonyRuns.game
Приложения Scylla обычно использовали идентификатор пакета, не совпадающий с его исходным названием, чтобы рекламодателям казалось, что рекламные клики/показы приходят из более прибыльной категории приложений.
Исследователи HUMAN обнаружили, что 29 приложений "Сцилла" имитировали до 6 тысяч приложений по базе CTV и регулярно перебирали идентификаторы, чтобы избежать обнаружения мошенничества.
На Android реклама загружается в скрытые окна WebView, поэтому жертва никогда не замечает ничего подозрительного, так как все происходит в фоновом режиме. В iOS просто откручивали рекламу, не предназначенную для этой категории приложений.
Кроме того, рекламное ПО использует систему "JobScheduler" для запуска событий показа рекламы, когда жертвы не используют активно свои устройства, например, когда экран выключен.
По сравнению с "Посейдоном", первой кампанией для этой операции, приложения "Сцилла" используют дополнительные уровни обфускации кода с помощью Allatori Java. Это затрудняет обнаружение и обратную разработку для исследователей.
Пользователям следует следить за своими приложениями на предмет вредоносных или нежелательных приложений, обращая внимание на некоторые признаки, которые обычно указывают на проблему, такие как быстрый разряд батареи и повышенное использование интернет-данных.
Также рекомендуется проверить список установленных приложений и удалить те, которые вы не помните, как устанавливали, или от незнакомого разработчика.
