Google Play Store удаляет поддельные блокировщики рекламы, загруженные миллионами

Постоянная проблема с Google Play Store — это большое количество вредоносных приложений и расширений, присутствующих в любой момент времени. Эти приложения часто извлекают выгоду из популярности законных приложений и пытаются обманом заставить пользователей загрузить их. Удивительно, но многие из них оказались успешными из-за того, что пользователи не тщательно изучают то, что они загружают. Но другая проблема заключается в том, что Google Play Store неэффективен для блокировки вредоносных приложений.

Это относится к недавнему удалению двух расширений, маскирующихся под законные блокировщики рекламы. Google Play Store удалил двух основных нарушителей, которые выдавали себя за популярные расширения AdBlock и Ublock, которыми пользуются миллионы людей по всему миру. Удаление произошло благодаря сообщению в блоге Андрея Мешкова из AdGuard, в котором он предупредил Google и население в целом о двух нарушителях.

Мешков заявляет в своем блоге, что, несмотря на многочисленные жалобы на самозванцев, которые должны были стать основанием для удаления, Play Store так и не удалил расширения. Это побудило исследователя опубликовать свои выводы о том, какую деятельность выполняли двойники Adblock и Ublock после загрузки из Google Play Store.

Мешков объясняет, что основная проблема заключается в заполнении файлов cookie, что является схемой мошенничества с рекламой. Сервер отправляет запросы, которые кажутся безобидными, примерно до 55 часов после установки. Обычные запросы, которые обрабатываются для блокировки рекламы, начинают заменяться запросами к urldata.net каждый раз при посещении нового домена. В примере, показанном в данных исследователя, «teamviewer.com» был доменом, взаимодействующим с urldata.net. Следует отметить, что TeamViewer не является частью схемы, а является ее жертвой.

Согласно сообщению в блоге, именно тогда все становится интересным:

Ответ на этот запрос содержит специальный URL-адрес. Расширения немедленно откроют этот URL-адрес в фоновом режиме. За этим запросом следует цепочка редиректов… Что здесь происходит, спросите вы? Судя по всему, этот адрес принадлежит партнерской программе Teamviewer. В ответ ваш браузер получает специальный «партнерский» файл cookie. Теперь, если вы совершаете покупку на teamviewer.com, Teamviewer будет платить комиссию владельцу расширения. Этот метод известен как вставка файлов cookie, и это, по сути, схема мошенничества с рекламой.

После того, как в этой схеме было обнаружено множество доменов, и особенно после того, как схема была обнародована, Google наконец удалил вредоносные расширения из Play Store. Почему были предприняты такие крайние меры, чтобы заставить компанию действовать, неизвестно, но ясно, что Google Play Store так же уязвим для злонамеренной активности, как и в прошлом.