Рекомендуем почитать:
Xakep #246. Учиться, учиться, учиться!
- Содержание выпуска
- Подписка на «Хакер»
Специалисты компании Wandera выявили в Apple App Store 17 приложений, которые содержали вредоносный код и имитировали взаимодействие пользователей с рекламными объявлениями. 17 зараженных приложений были опубликованы в App Store в различных категориях, от системных утилит до путешествий:
- RTO Vehicle Information
- EMI Calculator & Loan Planner
- File Manager – Documents
- Smart GPS Speedometer
- CrickOne – Live Cricket Scores
- Daily Fitness – Yoga Poses
- FM Radio – Internet Radio
- My Train Info – IRCTC & PNR
- Around Me Place Finder
- Easy Contacts Backup Manager
- Ramadan Times 2019
- Restaurant Finder – Find Food
- BMI Calculator – BMR Calc
- Dual Accounts
- Video Editor – Mute Video
- Islamic World – Qibla
- Smart Video Compressor
Все приложения были созданы индийским разработчиком AppAspect Technologies Pvt. Ltd и занимались рекламным мошенничеством: нажимали на ссылки и постоянно открывали окна с объявлениями в фоновом режиме, разумеется, все это происходило без ведома пользователей. Хотя adware была практически незаметна для пострадавших, аналитики Wandera отмечают, что работа таких приложений могла вызывать замедление работы устройств и приводить к более быстрой разрядке аккумулятора.
В общей сложности данный разработчик имеет 51 приложение в App Store, 35 из которых бесплатные. Все 17 зараженных приложений из числа бесплатных связывались с одним и тем же управляющим сервером, используя надежное шифрование, взломать которое исследователи не смогли. Очевидно, что этот управляющий сервер содержит полезную нагрузку, которая связана с кликфродом. Специалисты предполагают, что разработчик поместил вредоносный код во внешний источник, чтобы обойти механизмы безопасности App Store.
Эксперты заметили, что данная кампания очень похожа на кампанию, обнаруженную «Доктор Веб» в августе текущего года. Напомню, что специалисты «Доктор Веб» выявили в Google Play трояна-кликера, который работал в составе 34 приложений и точно так же использовался для накрутки посещений сайтов и монетизации онлайн-трафика. Дело в том, что в этой кампании был задействован тот же управляющий сервер, что и в инциденте, замеченном аналитиками Wandera.
У AppAspect Technologies есть профиль разработчика в Google Play Store и 28 опубликованных приложений в настоящее время. Эксперты Wandera изучили эти приложения и пришли к выводу, что они не связывались с подозрительным командным сервером. Тем не менее, дополнительные исследования выявили, что Android-приложения AppAspect Technologies тоже когда-то были заражены, что привело к их удалению из каталога. С тех пор они были переизданы и теперь не содержат вредоносных функций. В связи с этим эксперты Wandera отмечают, что вредоносный код в приложения мог добавить не сам разработчик, но речь может идти об атаке на цепочку поставок.
В настоящее время Apple удалила из App Store все скомпрометированные приложения, кроме двух: My Train Info — IRCTC & PNR и Easy Contacts Backup Manager. Исследователи продолжают наблюдать за развитием ситуации.
