Эксперты ESET обнаружили в магазине Google Play 42 вирусных приложения, которые скачали больше 8 млн раз. Все они могли выводить незакрывающиеся рекламные баннеры на весь экран. При этом у многих был достаточно высокий рейтинг, ведь заявленные функции они выполняли.
Среди этих приложений оказались различные загрузчики видео, заметочники, инструменты для напоминаний и игры. Формально разработчики у них разные, но на самом деле в фоне все они обменивались данными с одним и тем же удалёнными сервером.
Приложения высылали полную информацию о смартфоне, в том числе название модели, язык интерфейса, объём свободной памяти и список используемых сервисов Facebook* и Google. Ответом на эти сведения был специальный код для запуска определённой рекламы.
Причём обычно баннеры стартовали лишь спустя какое-то время после разблокировки устройства. Такая задержка позволяла не только замести следы, но и миновать процедуру проверки смартфона встроенными инструментами безопасности.
В некоторых случаях на основе данных с удалённого сервера приложение могло скрыть свою иконку и создать вместо неё ярлык. Удалив его со смартфона, само приложение оседало в памяти и продолжало работать в фоне.
Если же после запуска баннера пользователь попробует найти причину среди последних запущенных программ, то зловред в таком случае маскировался под сервисы Facebook* или Google, используя их иконки.
В списке установленных приложений зловред может прятаться под именем пакетов com.google.xxx. Это ещё одна уловка, чтобы пользователь не смог вручную найти вирус и удалить его. Кроме того, некоторые инструменты безопасности на смартфонах автоматически игнорируют процессы с названиями такого вида.
Google уже удалила все 42 приложения с рекламой, но мошенники продолжают распространять их в альтернативных магазинах и в виде APK-файлов. Если вы недавно устанавливали потенциально опасные программы, проверьте, есть ли они сейчас в Google Play. Если нет, их рекомендуется удалить, а сам смартфон — проверить на подозрительную активность при помощи антивирусов.
*Деятельность Meta Platforms Inc. и принадлежащих ей социальных сетей Facebook и Instagram запрещена на территории РФ.
