Исследователи Check Point Research обнаружили новую вредоносную кампанию в магазине Google Play.
Особая разновидность рекламного вредоносного ПО была обнаружена в 206 приложениях, а общее количество скачиваний достигло почти 150 миллионов.
Google был быстро уведомлен и удалил зараженные приложения из магазина Google Play. Check Point назвал эту вредоносную программу SimBad, так как большая часть зараженных приложений представляет собой игры-симуляторы.
Функционал SimBad можно разделить на три группы: показ рекламы, фишинг и доступ к другим приложениям. Благодаря возможности открывать заданный URL-адрес в браузере, скрывающийся за SimBad злоумышленник может создавать фишинговые страницы для нескольких платформ и открывать их в браузере, тем самым запускать фишинг-атаки на пользователя.
Благодаря способности зловреда открывать магазины приложений, такие, как Google Play и 9Apps, злоумышленник может установить удаленное приложение с назначенного сервера. Так он может в любое время установить новое вредоносное ПО и увеличить свою прибыль.
Цепочка заражения
Как только пользователь загружает и устанавливает одно из зараженных приложений, SimBad регистрирует себя в манифестах BOOT_COMPLETE и USER_PRESENT, что позволяет SimBad выполнять действия после того, как устройство завершит загрузку и пока пользователь использует свое устройство соответственно.
После установки вредоносная программа подключается к указанному командному серверу для выполнения определенных действий. SimBad обладает широкими возможностями, такими, как удаление значка с панели запуска, что усложняет его удаление пользователем, запуск фоновой рекламы и открытие браузера с заданным URL-адресом.
Что скрывается за SimBad
Командный сервер, наблюдаемый в этой кампании, — www[.]addroider.com. На этом сервере запущен экземпляр Parse Server (исходный код на GitHub), версия с открытым исходным кодом инфраструктуры Parse Backend, которая представляет собой модель, позволяющую разработчикам веб-приложений и мобильных приложений связывать свои приложения с бэкэнд-облачным хранилищем и API-интерфейсы, предоставляемые фоновыми приложениями, а также такие функции, как управление пользователями, push-уведомления и многое другое.
Домен addroider[.]сom был зарегистрирован через хостинг GoDaddy и использует службу защиты конфиденциальности. При заходе на домен из браузера вы получаете страницу входа, очень похожую на другие панели вредоносных программ. Ссылки регистрации «Register» и «Sign Up» не работают и «перенаправляют» пользователя обратно на страницу входа.
Согласно анализу RiskIQ, срок действия домена истек 7 месяцев назад. В результате, возможно, вы просматриваете взломанный, присвоенный домен, который изначально использовался на законных основаниях, но теперь участвует в злоумышленных действиях.
Исследователи Check Point полагают, что разработчики не были в курсе вредоносного содержания RXDrioder SDK, так как, согласно исследованию, кампания не была ориентирована на конкретную страну и была разработана другим разработчиком.
Сейчас SimBad действует как рекламное вредоносное приложение, открывая рекламные страницы, однако обладает большим функционалом, способным на большую угрозу.