В Google Play обнаружили одну из самых опасных вредоносных программ

30 Май 2017

В официальном интернет-магазине приложений регулярно эксперты обнаруживают разные вредоносные программы, которые чаще всего своевременно удаляются, чтобы избежать их распространения. Но на днях специалистам из Check Point удалось обнаружить кампанию по распространению малвари. Причем этот случай может стать самым крупным из выявленных за последнее время.

Вредоносное ПО носит название Judy. Им оказались заражены более 40 приложений. Их уже удалили из магазина Google Play, однако перед этим их успели скачать более 36 млн раз. Это значит, что десятки миллионов пользователей во всем мире могут иметь на своем мобильном устройстве вирус и даже не подозревать об этом.

После детального изучения обнаруженного вируса и приложений, выяснилось, что почти все зараженные сервисы являются продуктами компании Kiniwini. В Google Play она зарегистрирована как ENISTUDIO corp. Некоторые из зараженных приложений уже несколько лет доступны пользователям в интернет-магазине. Правда, как удалось установить, большую часть времени они не были заражены, поэтому те, кто устанавливал их ранее 2016 года, могли даже не столкнуться в вредоносной программой.

Экспертам удалось выяснить, что вредоносный код в приложениях начал появляться в апреле прошлого года. При этом специалистам не удалось установить, каким именно образом произошло заражение этих приложений. Существует два более вероятных варианта. Первый подразумевает, что разработчики сами могли внедрить вредоносный код в свои продукты. Второй — что компанию скомпрометировали. Это могли быть конкуренты, которые готовы на все, ради увеличения своей доли на рынке.

Judi предназначается для того, чтобы распространять рекламу и увеличивать клики по ней. Это главное предназначение данного вредоносного ПО, но оно может выполнять еще и некоторые другие функции. Например, в зараженных приложениях могла появляться навязчивая реклама, которая закрывала доступ к основному интерфейсу приложения. Так что пользователь не мог закрыть рекламу, не кликнув по ней хотя бы раз. В обычном режиме вредоносное ПО действовало тайно и владелец мобильного устройства мог даже не знать о заражении. Сначала вредонос тайно осуществлял запуск браузера, потом открывал в нем определенную страницу, с помощью специальных инструментов обнаруживал рекламные баннеры и кликал по ним.

В ходе дальнейшего изучения вредоносного кода специалистам удалось обнаружить еще несколько приложений производства другой компании, которые тоже оказались заражены. Это натолкнуло специалистов на мысль о том, что вообще кампаний по заражению приложений было несколько. Первая могла быть основная и нацелена на продукцию Kiniwini, а во втором случае злоумышленники могли просто позаимствовать вредоносный код и направить атаку на другие приложения, размещенные в Google Play. Были ли как-то связаны эти кампании, кроме использования одного и того же вредоносного кода, пока еще неизвестно.