Читать первым в Telegram-канале «Код Дурова»
Вирусные аналитики компании «Доктор Веб» сообщили о приложении для Android, которое содержало троян-кликер.
Троян незаметно открывает рекламные сайты и выполняет клики на сайтах — злоумышленники обычно используют это для скрытого показа рекламы, накрутки переходов по ссылкам, оформления платных подписок или же DDoS-атак.
- Изначально компонент Origins Tracing в приложении Dr.Web Security Space для Android предупредил одного из пользователей о заражении устройства.
- Технология Origins Tracing выявила подозрительный код в приложении Love Spouse для управления игрушками для взрослых. Эта программа было загружена из Google Play.
- В составе приложения оказался троян-кликер Android.Click.414.origin. Он маскируется под компонент для сбора отладочный информации — библиотеку com.android.logcatch.
- Этот же троян-кликер обнаружили в приложении QRunning для отслеживания физической активности.
- Эксперты выявили модульную структуру в новом трояне Android.Click.414.origin. Один из модулей предназначен для получения информации об устройстве, а другие два выполняют скрытую загрузку веб-страниц, показывают рекламу и совершают клики.
- Троян работает избирательно и не запускается на устройствах, где языком интерфейса выбран китайский.
- Этот троян является модификацией Android.Click.410.origin, который обнаружили в апреле 2023-го. Тогда антивирус обнаружил файл, являющийся загрузчиком этого трояна, в системной области ТВ-приставки.
Изначально троян-кликер заметили на неофициальных сайтах с приложениями для Android, однако он проник в Google Play в феврале 2024 года. Именно в этот период Love Spouse, вероятно, было скомпрометировано после выпуска версии 1.8.1, где трояна ещё не было.
Что интересно, Love Spouse и QRunning выпускаются китайскими разработчиками. Суммарно их установили на более чем 1,5 млн устройств. При этом внедрение вредоносного кода произошло недавно, в нескольких последних релизах.
Разработчик Love Spouse обновил приложение и с версии 1.8.8 трояна-кликера в нём больше нет, уточняют в компании «Доктор Веб». А вот разработчик QRunning приложение не обновлял.