Специалисты Sophos обнаружили в официальном каталоге Google Play 22 опасных приложения, которые в общей сложности были установлены более 2 000 000 раз (одно только приложение Sparkle Flashlight было загружено свыше 1 000 000 раз).
Исследователи пишут, что три вредоносных приложения были добавлены в каталог еще в 2016-2017 годах, а остальные появились летом 2018 года. Причем вредоносная функциональность появилась в уже упомянутом Sparkle Flashlight и еще двух «старых» приложениях в марте текущего года, а позже загруженные в Google Play приложения содержали вредоносный код с самого начала.
Данному семейству малвари было присвоено название Andr/Clickr-ad и, как несложно понять по этому идентификатору, в основном приложения использовались для фонового скликивания рекламы. Все приложения запускались и продолжали работать, даже если пользователь пытался завершить их принудительно, и при этом активно расходовали трафик и батарею. Так, малварь связывалась с доменом mobbt[.]com, откуда получала модули для рекламного фрода и новые инструкции, каждые 10 минут и 80 секунд, соответственно.
Чтобы не вызывать подозрений и сливаться трафиком настоящих пользователей, приложения подделывали user-agent и выдавали себя за другие продукты и устройства, включая iPhone. Так, малварь имитировала активность, якобы исходящую с iPhone начиная от 5 до 8 Plus, а также 249 моделей 33 производителей Android-устройств (якобы работающих под управлением Android от версии 4.4.2 до 7.x).
Эксперты отмечают, что малварь могла нанести ущерб не только пользователям, но рекламным сетям и даже всей экосистеме Android. Хуже того, вредоносные приложения полностью контролировались злоумышленниками с управляющего сервера и в любой момент могли быть использованы для установки на зараженное устройство дополнительной малвари.
В настоящее время все опасные приложения уже удалены из Google Play. Ниже можно увидеть составленный аналитиками Sophos список.
| Имя пакета | Название | Sha1 |
| com.sparkle.flashlight | Sparkle FlashLight | 9ed2b260704fbae83c02f9f19a2c4e85b93082e7 |
| com.mobilebt.snakefight | Snake Attack | 0dcbbae5d18c33039db726afd18df59a77761c03 |
| com.mobilebt.mathsolver | Math Solver | be300a317264da8f3464314e8fdf08520e49a55b |
| com.mobilebt.shapesorter | ShapeSorter | e28658e744b2987d31f26b2dd2554d7a639ca26d |
| com.takatrip.android | Tak A Trip | 0bcd55faae22deb60dd8bd78257f724bd1f2fc89 |
| com.magnifeye.android | Magnifeye | 7d80bd323e2a15233a1ac967bd2ce89ef55d3855 |
| com.pesrepi.joinup | Join Up | c99d4eaeebac26e46634fcdfa0cb371a0ae46a1a |
| com.pesrepi.zombiekiller | Zombie Killer | 19532b1172627c2f6f5398cf4061cca09c760dd9 |
| com.pesrepi.spacerocket | Space Rocket | 917ab70fffe133063ebef0894b3f0aa7f1a9b1b0 |
| com.pesrepi.neonpong | Neon Pong | d25fb7392fab90013e80cca7148c9b4540c0ca1d |
| app.mobile.justflashlight | Just Flashlight | 6fbc546b47c79ace9f042ef9838c88ce7f9871f6 |
| com.mobile.tablesoccer | Table Soccer | fea59796bbb17141947be9edc93b8d98ae789f81 |
| com.mobile.cliffdiver | Cliff Diver | 4b23f37d138f57dc3a4c746060e57c305ef81ff6 |
| com.mobile.boxstack | Box Stack | c64ecc468ff0a2677bf40bf25028601bef8395fc |
| net.kanmobi.jellyslice | Jelly Slice | 692b31f1cd7562d31ebd23bf78aa0465c882711d |
| com.maragona.akblackjack | AK Blackjack | 91663fcaa745b925e360dad766e50d1cc0f4f52c |
| com.maragona.colortiles | Color Tiles | 21423ec6921ae643347df5f32a239b25da7dab1b |
| com.beacon.animalmatch | Animal Match | 403c0fea7d6fcd0e28704fccf5f19220a676bf6c |
| com.beacon.roulettemania | Roulette Mania | 8ad739a454a9f5cf02cc4fb311c2479036c36d0a |
| com.atry.hexafall | HexaFall | 751b515f8f01d4097cb3c24f686a6562a250898a |
| com.atry.hexablocks | HexaBlocks | ef94a62405372edd48993030c7f256f27ab1fa49 |
| com.atry.pairzap | PairZap | 6bf67058946b74dade75f22f0032b7699ee75b9e |
