- Регистрация
- 9 Апр 2021
- Сообщения
- 419
- Реакции
- 355
Вирусные аналитики «Доктор Веб» сообщили об исследовании Android-приложения для секс-игрушек. Приложение содержало троян-кликер, способный незаметно открывать сайты. Такие трояны используется для скрытого показа рекламы, накручивания количества переходов по ссылкам, оформления платных подписок или DDoS-атак.
Трояном оказалось заражено приложение Love Spouse для управления игрушками для взрослых, загруженное из Google Play. Троян-кликер Android.Click.414.origin маскировался под компонент для сбора отладочной информации — библиотеку com.android.logcatch.
«Данное вредоносное ПО является модификацией трояна Android.Click.410.origin, который попал в поле нашего зрения в апреле прошлого года. Тогда в вирусную лабораторию поступил запрос от пользователя, у которого антивирус обнаружил появление нового файла в системной области ТВ-приставки V88mini», — рассказывают аналитики «Доктор Веб».
Анализ показал, что у Android.Click.414.origin модульная структура: один из трёх модулей получает информацию об устройстве, два других выполняют скрытую загрузку веб-страниц, показывают рекламу и совершают клики. После успешного запуска троян отправляет на свой управляющий сервер подробные сведения об устройстве (бренд, модель, версия ОС, IP-адрес, регион, выбранный в настройках, код оператора мобильной сети и другие).
Следующим шагом троян незаметно для пользователя загружает сайты через WebView. Он умеет прокручивать содержимое страниц, вводить текст в формы, отключать звук воспроизведения в тех случаях, если открываемые им сайты проигрывают аудио или видео. Для этого троян выполняет в WebView с загруженным целевым сайтом полученный от сервера JavaScript-код. Кроме того, троян может делать скриншоты отображаемого сайта и передавать их на сервер, попиксельно их анализировать и в соответствии с результатом анализа определять области для кликов уже в самом WebView. Примечательно, что троян работает избирательно и не запускается на устройствах с китайским языком интерфейса.
Изначально Android.Click.414.origin встречался в приложениях, установленных из неофициальных источников. В феврале 2024 года этот троян впервые был обнаружен в приложении из Google Play.
Помимо Love Spouse, трояном было заражено приложение QRunning для отслеживания физической активности. Приложения довольно популярны отмечают в «Доктор Веб», суммарно они установлены на более чем полутора миллионах устройств. Разработчик Love Spouse обновил приложение и начиная с версии 1.8.8 оно больше не содержит трояна. Корректирующих обновлений для QRunning пока не выходило.
Подписывайтесь на
Трояном оказалось заражено приложение Love Spouse для управления игрушками для взрослых, загруженное из Google Play. Троян-кликер Android.Click.414.origin маскировался под компонент для сбора отладочной информации — библиотеку com.android.logcatch.
«Данное вредоносное ПО является модификацией трояна Android.Click.410.origin, который попал в поле нашего зрения в апреле прошлого года. Тогда в вирусную лабораторию поступил запрос от пользователя, у которого антивирус обнаружил появление нового файла в системной области ТВ-приставки V88mini», — рассказывают аналитики «Доктор Веб».
Анализ показал, что у Android.Click.414.origin модульная структура: один из трёх модулей получает информацию об устройстве, два других выполняют скрытую загрузку веб-страниц, показывают рекламу и совершают клики. После успешного запуска троян отправляет на свой управляющий сервер подробные сведения об устройстве (бренд, модель, версия ОС, IP-адрес, регион, выбранный в настройках, код оператора мобильной сети и другие).
Следующим шагом троян незаметно для пользователя загружает сайты через WebView. Он умеет прокручивать содержимое страниц, вводить текст в формы, отключать звук воспроизведения в тех случаях, если открываемые им сайты проигрывают аудио или видео. Для этого троян выполняет в WebView с загруженным целевым сайтом полученный от сервера JavaScript-код. Кроме того, троян может делать скриншоты отображаемого сайта и передавать их на сервер, попиксельно их анализировать и в соответствии с результатом анализа определять области для кликов уже в самом WebView. Примечательно, что троян работает избирательно и не запускается на устройствах с китайским языком интерфейса.
Изначально Android.Click.414.origin встречался в приложениях, установленных из неофициальных источников. В феврале 2024 года этот троян впервые был обнаружен в приложении из Google Play.
Помимо Love Spouse, трояном было заражено приложение QRunning для отслеживания физической активности. Приложения довольно популярны отмечают в «Доктор Веб», суммарно они установлены на более чем полутора миллионах устройств. Разработчик Love Spouse обновил приложение и начиная с версии 1.8.8 оно больше не содержит трояна. Корректирующих обновлений для QRunning пока не выходило.
Подписывайтесь на
У Вас недостаточно прав для просмотра ссылки. Войдите или зарегистрируйтесь.
