Из Google Play удалены 22 приложения, зараженные LightsOut

Более двух десятков приложений-фонариков и разных утилит были удалены из онлайн-магазина Google Play после того, как исследователи обнаружили в них компонент, который получил название LightsOut и предназначен для навязчивого показа рекламы, сообщает Threatpost.

Согласно статистике Google Play, зараженные программы были совокупно скачаны от 1,5 млн до 7,5 млн раз. Наиболее популярные из них — программа для записи звонков и утилита, запоминающая регистрационные данные к Wi-Fi, — были загружены пользователями 5 млн и 500 тыс. раз соответственно.

Новый adware-код в легитимных приложениях обнаружили исследователи из Check Point Software. Согласно их описанию, он позволяет получать доход от рекламы, которую владельцев мобильных устройств обманом заставляют просматривать и активировать.

«Некоторые пользователи заметили, что их вынуждают кликнуть на рекламный баннер при ответе на звонок или выполнении иного действия на устройстве, — пишут эксперты в своем блоге. — А один из пользователей сообщил, что вредоносная деятельность сохранилась даже после покупки версии приложения без рекламы».

Анализ показал, что зловред LightsOut внедряется в легитимные Android-приложения как Solid SDK, обладающий двумя вредоносными функциями, которые активируются по команде с C&C-сервера. Во-первых, при начальном запуске вредоносный код прячет свою иконку, чтобы владелец гаджета не обнаружил его и не удалил. Во-вторых, он предлагает пользователю поле для установки флажка и панель управления для включения и выключения дополнительных служб, в том числе показа рекламы.

Рекламу LightsOut отображает при любом событии: установке WiFi-соединения, завершении вызова, подключении зарядного устройства, блокировке экрана. Однако отключение любой из предложенных им функций ничего не изменит — зловред отменит этот выбор с помощью скриптов и продолжит показывать рекламу вне контекста загруженного приложения.

Исследователи полагают, что вирусописателям удалось обойти защиту Google Play Protect, проверяющую новое и уже выложенное ПО на наличие вредоносного кода, поскольку при установке зараженного LightsOut приложения его разрешения прозрачны для пользователя. «LightsOut может показаться легитимным, так как он запрашивает у пользователя разрешения для различных сервисов и позволяет одобрять или отклонять доступ к этим службам и рекламному сопровождению», — пишут исследователи.

По словам Дэниела Пейдона (Daniel Padon), занимающегося анализом мобильных угроз в Check Point, данный зловред отличается от прочего adware тем, что скрывает свою иконку и выказывает вполне легитимное поведение. «Без передовых средств анализа контекста защитным решениям будет трудно обнаружить подобные злоупотребления», — признал эксперт.