На днях корпорация Google удалила из каталога приложений несколько дюжин программ с миллионами загрузок. Как оказалось, эти приложения демонстрировали скам-рекламу и похищали личные данные пользователей. Практически все они позиционировались, как софт для работы с видео и фото.
Практически все были популярны — число загрузок каждого приложения колеблется от сотен тысяч до миллионов. Функциональность malware была разной. Часть показывали рекламу на весь экран в момент, когда пользователь пытался разблокировать телефон. Клик по рекламе иногда приводил на сайты с порно.
Производилась загрузка специализированного плеера, который, однако, ничего не мог воспроизвести. Пользователи понятия не имели, куда их может привести клик по рекламе. А это было не только порно, но и фишинговые сайты, которые пытались выведать частную информацию, вроде адресов или номеров телефонов.
Приложения, ко всему, скрывали иконки из списка установленного софта, так что обычному пользователю было неясно, как можно удалить то, что он поставил. Разработчики malware использовали специальные методы сжатия, которые затрудняли изучение софта специалистами по информационной безопасности.
Часть приложений обещала пользователю улучшить его (ее) фотографии путем загрузки на специальный сервер. Снимки действительно загружались на сервер, где их, по всей видимости собирали для каких-то своих целей злоумышленники. Пользователь же видел уведомление (на одном из 9 языков) о том, что фотография оптимизирована. Это делалось для того, чтобы жертва ничего не заподозрила. Возможно, снимки использовались для создания фальшивых аккаунтов в социальных сетях.
Обнаружили приложения специалисты по информационной безопасности из Trend Micro. Случай с приложениями показывает, что Google, к сожалению, все еще не научился определять зловредное ПО с достаточной степенью точности. Более того, malware продолжает существовать в каталоге несмотря на подозрительную активность и огромное число загрузок.