Вредоносная программа Judy для Android запускает масштабную атаку на Google Play Store
Когда дело доходит до приложений для мобильных устройств, эксперты InfoSec всегда рекомендуют загружать их у официальных поставщиков, таких как Google Play Store или Apple App Store. Хотя эти сайты гораздо более строги в своих стандартах предотвращения вредоносных приложений, всегда есть исключения (которые требуют, чтобы потребитель руководствовался здравым смыслом). Что необычно, так это то, что огромное количество вредоносных приложений не только обходит автоматическую антивирусную систему Bouncer в Play Store, но и создается одной единственной компанией.
Однако так обстоит дело с вредоносным ПО, получившим название «Джуди». Judy, обнаруженная и описанная исследователями безопасности из Check Point, представляет собой рекламное ПО с автоматическим кликом, которое можно найти исключительно в 41 приложении, созданном корейской компанией Kiniwini (ENSTUDIO в Play Store). По словам исследователей, Джуди работает, используя «зараженные устройства для создания большого количества мошеннических кликов по рекламным объявлениям, принося доход преступникам, стоящим за этим». Этот доход, вероятно, был огромным, поскольку, по оценкам Check Point, общее количество загрузок приложений, зараженных Judy, составило не менее 36,5 миллионов.
Фактический процесс атаки был следующим.
- Пользователь загружает приложение.
- Джуди регистрирует приемники и создает соединение с сервером управления и контроля.
- Сервер отвечает вредоносной полезной нагрузкой.
Часть полезной нагрузки JavaScript показана ниже:
Рассматриваемая компания была довольно предана своему мошенничеству, так как многие приложения (как показано ниже) получили высокие оценки и имели профессиональную презентацию.
Получив отчеты от Check Point, Google немедленно начал удалять любые следы приложений из Play Store. Кто-то может спросить, как эти приложения вообще попали в Play Store? Как я уже говорил ранее, процесс проверки официальных торговых площадок приложений не является надежным. Процесс блокировки может распознавать вредоносный код в основных процессах приложения, но, как и в случае с Джуди, приложение не становится вредоносным до тех пор, пока пользователь не установит соединение с помощью разрешенных разрешений.
Пусть это будет уроком. Хотя вам, безусловно, лучше загружать приложения из Play Store и App Store, вы должны знать, сколько доступа запрашивает приложение. Если это кажется слишком навязчивым, не качайте приложение (вероятно, вы сможете прожить без него). Точно так же, как только вы загрузили приложение и оно кажется заваленным подозрительной рекламой, удалите эту присоску как можно быстрее и выполните сканирование на наличие вредоносных программ.