Специалисты ESET обнаружили на сервисе Google Play очередную партию вредоносных и нежелательных приложений. Они маскируются под легитимные программы и/или используют методы социальной инженерии для увеличения рейтинга. Общее число загрузок «героев» этого обзора превышает полтора миллиона, причем в большинстве ситуаций изучение отзывов пользователей в сервисе Google Play позволило бы избежать установки потенциально опасного ПО.
Фальшивые обещания как бизнес-модель
Обширная категория этих рекламных приложений на Google Play использовала методы социальной инженерии, выпрашивая у пользователей высокие оценки – это повышало число последующих загрузок.
Как правило, в описании приложения перечислялись несуществующие функции. После установки на экран устройства выводилось всплывающее сообщение, обещающее продолжение инсталляции или разблокировку полной версии за высокую оценку на Google Play. Как результат, приложения имели неправдоподобно высокий рейтинг, их выдавали только отзывы разочарованных пользователей.
Классический пример – поддельная игра Subway Sonic Surf Jump, которая выпрашивала оценку 5*, обещая открыть полный доступ к функциям, а по факту показывала один рекламный баннер за другим. Приложение установили больше 500 тысяч пользователей, средний рейтинг составил 4,1 балла, высокие оценки сопровождались возмущенными комментариями.
Примерно так же действовали и другие популярные (по рейтингу) приложения – Anime Wallpapers HD и Latest online movies. Они «продавали» отсутствующие функции за 5*, привлекая пользователей, не читающих отзывы.
Еще один способ выпросить высокую оценку – назойливая реклама. Некоторые приложения демонстрировали рекламные объявления во всплывающих окнах и обещали удалить их в обмен на пятибалльный рейтинг.
Понятно, что это пустые обещания, но у авторов нет другого способа улучшить рейтинг. Их не останавливает даже прямой запрет накруток, предусмотренный правилами Google Play Developer Policy.
Android/Hiddad.BZ: рекламный троян, накручивающий рейтинг
Среди приложений, накручивающих рейтинг, выделяется мобильный троян для показа рекламы Android/Hiddad.BZ.
Программа маскировалась под инструмент для загрузки контента с YouTube – семь приложений с названиями типа Tube.Mate и Snaptube. Их установили до 5000 пользователей.
Вредоносное ПО использует ряд методов, чтобы убедить пользователей установить дополнительный компонент, показывающий рекламу, и при этом поставить приложению высокую оценку на Google Play.
После установки все семь приложений отображались на устройстве как Music Mania. Кликнув по соответствующей иконке, пользователь запускал загрузку компонента для показа рекламы. Для этого программа выводила на экран сообщение, предлагающее установку «плагина для Android», и блокировала экран до нажатия INSTALL. Далее программа запрашивала права администратора устройства тем же способом – выводя на экран еще одно сообщение.
Получив права администратора, программа демонстрировала пользователю рекламные баннеры и предлагала оценить приложение в 5*, чтобы избавиться от назойливого контента. Удалять сообщения бесполезно – рекламных баннеров будет еще больше, что в перспективе вынуждает пользователя оценить программу, когда предложение появится снова.
Чтобы очистить устройство от Android/Hiddad.BZ, нужно отключить ему права администратора, вручную удалить дополнительный плагин, а затем и само приложение (Music Mania) через Менеджер приложений. Если у вас установлен мобильный антивирус, он также детектирует и удалит эту угрозу.
Android/TrojanDownloader.Agent.JL: троян-загрузчик с рекламным модулем
Следующая категория вредоносного ПО на Google Play, обнаруженная специалистами ESET, – троян-загрузчик, демонстрирующий на зараженном устройстве рекламу. Такое содержимое выявлено у 14 приложений, маскирующихся под моды Minecraft. Вредоносное ПО загрузили в общей сложности до 80 тысяч раз.
Как и Android/Hiddad.BZ, троян использует для показа рекламы дополнительные компоненты. Рекламный модуль не является частью оригинального приложения – он должен быть загружен из сети и установлен пользователем вручную после запуска.
Приложение не имеет реальных функций и показывает назойливую рекламу. Как результат, его выдает низкий рейтинг и негативные отзывы.
После запуска приложение запрашивает права администратора устройства. Когда режим администратора активирован, на экране отображается сообщение с кнопкой INSTALL MOD. Одновременно push-уведомление информирует пользователя о том, что для продолжения инсталляции необходим дополнительный модуль Block Launcher Pro.
В процессе установки модуля пользователю предлагается наделить его рядом разрешений (включая права администратора). Дополнительные компоненты, которые устанавливаются в процессе, детектируются продуктами ESET NOD32 как Android/Hiddad.DA. Единственная функция такого приложения и дополнительного модуля – показ рекламы.
Интересно, что этот троян-загрузчик представляет собой усовершенствованную версию приложения, которое впервые появилось на Google Play в феврале. В той версии использовался похожий интерфейс, она тоже запрашивала права администратора, но не имела функционала для загрузки и, в отличие от нынешней, действительно содержала моды Minecraft.
Обновленная версия загрузчика теоретически может загружать на устройство жертвы любое ПО. Нет повода полагать, что авторы трояна ограничатся показом рекламы. Отработав схему обхода системы безопасности сервиса Google Play и обмана пользователей, они рано или поздно предпримут следующий шаг – распространение более опасных вредоносных программ.
Шанс увидеть и установить одно из вредоносных приложений при загрузке модов Minecraft довольно велик. Чтобы избавиться от загрузчика, можно использовать надежный мобильный антивирус или устранить угрозу вручную в Менеджере приложений, предварительно отключив права администратора для приложения и модуля-загрузчика.
Android/FakeApp.FG: приложение для перенаправления на сайты мошенников
Еще 73 поддельных мода Minecraft используют классическую схему, перенаправляя пользователя на сайты мошенников. Эти приложения обнаруживаются как Android/FakeApp.FG, они были установлены до 910 тысяч раз.
После запуска приложение отображает сообщение с кнопкой DOWNLOAD. Нажатие кнопки не загрузит какие-либо моды, а вместо этого перенаправит пользователя на сайт, открывающийся в установленном по умолчанию браузере. На сайтах представлен всевозможный навязчивый контент – реклама, опросы, «розыгрыши», купоны, поддельные обновления ПО и сообщения о вирусах. Сообщения локализованы – в зависимости от IP-адреса пользователя.
Android/FakeApp.FG можно удалить вручную в Менеджере приложений или воспользоваться мобильным антивирусом.
Профилактика
Даже обнаружив вредоносное ПО, накручивающее рейтинг на Google Play, мы не отказываемся от главного совета – проверяйте приложение до загрузки. Помимо средней оценки, важно проверить отзывы пользователей. Как доказали перечисленные эпизоды, пользователи пишут честные отзывы, даже (особенно) если их уже убедили поставить завышенную оценку.
Образцы
Android/Hiddad.BZ:
Android/FakeApp.FG:
За обзоры вредоносных приложений отдельное спасибо вирусному эксперту Лукашу Стефанко.
На всякий случай напомним, что от подобных угроз защищает мобильный антивирус ESET NOD32.
Фальшивые обещания как бизнес-модель
Обширная категория этих рекламных приложений на Google Play использовала методы социальной инженерии, выпрашивая у пользователей высокие оценки – это повышало число последующих загрузок.
Как правило, в описании приложения перечислялись несуществующие функции. После установки на экран устройства выводилось всплывающее сообщение, обещающее продолжение инсталляции или разблокировку полной версии за высокую оценку на Google Play. Как результат, приложения имели неправдоподобно высокий рейтинг, их выдавали только отзывы разочарованных пользователей.
Классический пример – поддельная игра Subway Sonic Surf Jump, которая выпрашивала оценку 5*, обещая открыть полный доступ к функциям, а по факту показывала один рекламный баннер за другим. Приложение установили больше 500 тысяч пользователей, средний рейтинг составил 4,1 балла, высокие оценки сопровождались возмущенными комментариями.
Примерно так же действовали и другие популярные (по рейтингу) приложения – Anime Wallpapers HD и Latest online movies. Они «продавали» отсутствующие функции за 5*, привлекая пользователей, не читающих отзывы.
Еще один способ выпросить высокую оценку – назойливая реклама. Некоторые приложения демонстрировали рекламные объявления во всплывающих окнах и обещали удалить их в обмен на пятибалльный рейтинг.
Понятно, что это пустые обещания, но у авторов нет другого способа улучшить рейтинг. Их не останавливает даже прямой запрет накруток, предусмотренный правилами Google Play Developer Policy.
Android/Hiddad.BZ: рекламный троян, накручивающий рейтинг
Среди приложений, накручивающих рейтинг, выделяется мобильный троян для показа рекламы Android/Hiddad.BZ.
Программа маскировалась под инструмент для загрузки контента с YouTube – семь приложений с названиями типа Tube.Mate и Snaptube. Их установили до 5000 пользователей.
Вредоносное ПО использует ряд методов, чтобы убедить пользователей установить дополнительный компонент, показывающий рекламу, и при этом поставить приложению высокую оценку на Google Play.
После установки все семь приложений отображались на устройстве как Music Mania. Кликнув по соответствующей иконке, пользователь запускал загрузку компонента для показа рекламы. Для этого программа выводила на экран сообщение, предлагающее установку «плагина для Android», и блокировала экран до нажатия INSTALL. Далее программа запрашивала права администратора устройства тем же способом – выводя на экран еще одно сообщение.
Получив права администратора, программа демонстрировала пользователю рекламные баннеры и предлагала оценить приложение в 5*, чтобы избавиться от назойливого контента. Удалять сообщения бесполезно – рекламных баннеров будет еще больше, что в перспективе вынуждает пользователя оценить программу, когда предложение появится снова.
Чтобы очистить устройство от Android/Hiddad.BZ, нужно отключить ему права администратора, вручную удалить дополнительный плагин, а затем и само приложение (Music Mania) через Менеджер приложений. Если у вас установлен мобильный антивирус, он также детектирует и удалит эту угрозу.
Android/TrojanDownloader.Agent.JL: троян-загрузчик с рекламным модулем
Следующая категория вредоносного ПО на Google Play, обнаруженная специалистами ESET, – троян-загрузчик, демонстрирующий на зараженном устройстве рекламу. Такое содержимое выявлено у 14 приложений, маскирующихся под моды Minecraft. Вредоносное ПО загрузили в общей сложности до 80 тысяч раз.
Как и Android/Hiddad.BZ, троян использует для показа рекламы дополнительные компоненты. Рекламный модуль не является частью оригинального приложения – он должен быть загружен из сети и установлен пользователем вручную после запуска.
Приложение не имеет реальных функций и показывает назойливую рекламу. Как результат, его выдает низкий рейтинг и негативные отзывы.
После запуска приложение запрашивает права администратора устройства. Когда режим администратора активирован, на экране отображается сообщение с кнопкой INSTALL MOD. Одновременно push-уведомление информирует пользователя о том, что для продолжения инсталляции необходим дополнительный модуль Block Launcher Pro.
В процессе установки модуля пользователю предлагается наделить его рядом разрешений (включая права администратора). Дополнительные компоненты, которые устанавливаются в процессе, детектируются продуктами ESET NOD32 как Android/Hiddad.DA. Единственная функция такого приложения и дополнительного модуля – показ рекламы.
Интересно, что этот троян-загрузчик представляет собой усовершенствованную версию приложения, которое впервые появилось на Google Play в феврале. В той версии использовался похожий интерфейс, она тоже запрашивала права администратора, но не имела функционала для загрузки и, в отличие от нынешней, действительно содержала моды Minecraft.
Обновленная версия загрузчика теоретически может загружать на устройство жертвы любое ПО. Нет повода полагать, что авторы трояна ограничатся показом рекламы. Отработав схему обхода системы безопасности сервиса Google Play и обмана пользователей, они рано или поздно предпримут следующий шаг – распространение более опасных вредоносных программ.
Шанс увидеть и установить одно из вредоносных приложений при загрузке модов Minecraft довольно велик. Чтобы избавиться от загрузчика, можно использовать надежный мобильный антивирус или устранить угрозу вручную в Менеджере приложений, предварительно отключив права администратора для приложения и модуля-загрузчика.
Android/FakeApp.FG: приложение для перенаправления на сайты мошенников
Еще 73 поддельных мода Minecraft используют классическую схему, перенаправляя пользователя на сайты мошенников. Эти приложения обнаруживаются как Android/FakeApp.FG, они были установлены до 910 тысяч раз.
После запуска приложение отображает сообщение с кнопкой DOWNLOAD. Нажатие кнопки не загрузит какие-либо моды, а вместо этого перенаправит пользователя на сайт, открывающийся в установленном по умолчанию браузере. На сайтах представлен всевозможный навязчивый контент – реклама, опросы, «розыгрыши», купоны, поддельные обновления ПО и сообщения о вирусах. Сообщения локализованы – в зависимости от IP-адреса пользователя.
Android/FakeApp.FG можно удалить вручную в Менеджере приложений или воспользоваться мобильным антивирусом.
Профилактика
Даже обнаружив вредоносное ПО, накручивающее рейтинг на Google Play, мы не отказываемся от главного совета – проверяйте приложение до загрузки. Помимо средней оценки, важно проверить отзывы пользователей. Как доказали перечисленные эпизоды, пользователи пишут честные отзывы, даже (особенно) если их уже убедили поставить завышенную оценку.
Образцы
Android/Hiddad.BZ:
Android/FakeApp.FG:
За обзоры вредоносных приложений отдельное спасибо вирусному эксперту Лукашу Стефанко.
На всякий случай напомним, что от подобных угроз защищает мобильный антивирус ESET NOD32.
