Компания Google удалила из официального магазина Google Play Store неназванное количество приложений для Android, которые оказались частью ботнета.
Ботнет «Terracotta» был обнаружен командой мобильной безопасности Satori компании White Ops. Исследователи White Ops заявили, что они отслеживают «Terracotta» с его появления в конце 2019 года.
Установка вредоносного ПО вместо бесплатных предложений
«Terracotta» управляется путем загрузки в Google Play Store приложений с разнообразными бесплатными раздачами и акциями для пользователей.
Приложения обычно предлагали бесплатную обувь, кроссовки, ботинки, а иногда и билеты, купоны или дорогостоящие стоматологические процедуры. Условие «акций» - пользователь должен был установить приложение и затем подождать две недели с установленным на телефоне приложением для получения «бонусов».
Сами приложения загружали и запускали модифицированную версию WebView, упрощенную версию Google Chrome. «Terracotta» запускал модифицированный, скрытый от пользователя браузер WebView и осуществлял рекламное мошенничество через загрузку в браузере объявлений, получая доход от фальшивых показов рекламы.
Команда White Ops охарактеризовала «Terracotta» как комплексную и массивную сеть. Ботнет использовал передовые методы сокрытия от обманутых рекламных сетей и сумел распространиться крайне широко. White Ops сообщили, что только в последнюю неделю июня ботнет «Terracotta» скрытно загрузил более двух миллиардов рекламных объявлений в 65 000 зараженных смартфонов.
Некоторые приложения «Terracotta» были удалены из Google Play
В настоящее время, после вмешательства Google, присутствие ботнета в Play Store было сокращено, но не устранено полностью, при этом некоторые устройства все еще заражены.
Объемы рекламных запросов «Terracotta»
Некоторые пользователи могут подумать, что вредоносные приложения Terracotta обманывали рекламные сети, а не пользователей и что ботнет может не представлять для них проблем, но на зараженных устройствах вредоносные приложения часто изнашивали батареи и потребляли трафик мобильной связи, так как вредоносные приложения работают круглосуточно.
К сожалению, White Ops не выпустила список зараженных «Terracotta» приложений, однако хорошей новостью является то, что когда Google удаляет вредоносные приложения из Play Store, компания также отключает вредоносные приложения на устройствах всех пользователей и останавливает их вредоносную активность.
«Находки компании White Ops, занимающейся расследованием деятельности «Terracotta» по мошенничеству с рекламой, помогли нам связать это дело с ранее обнаруженным набором мобильных приложений и выявить из них дополнительные вредоносные. Это позволило нам оперативно применить защитные меры для наших пользователей и экосистемы. Когда мы находим нарушения политики, мы сразу принимаем меры», - сообщил представитель Google.
Для исследователей в области безопасности, разработчиков приложений для Android и инженеров-программистов компания White Ops опубликовала подробный технический отчет с описанием работы «Terracotta».
Перевод сделан со статьи https://www.zdnet.com/