Меню контента Закрыть

Исследование

Ad Plus вместо AdBlock Plus

Исследование

мин. на чтение

Авторы

Это один из тех случаев, когда пользователь ищет защиту, а находит лишь проблемы. Мой друг Серхио де лос Сантос (Sergio de los Santos) прислал мне ссылку на поддельное приложение, замаскированное под AdBlock Plus – широко известную и полезную программу, которое многие пользователи используют в своих браузерах. На момент загрузки поддельное приложение было активно в Google Play, и все, кто его загрузил, вместо программы, блокирующей нежелательную рекламу в браузере, получили нечто противоположное – еще больше рекламы и проблемы с сохранностью конфиденциальных данных.

Я могу с уверенностью это утверждать, поскольку анализ кода показал, что это приложение – образец рекламного ПО (Adware). Продукты «Лаборатории Касперского» детектируют его как HEUR:AdWare.AndroidOS.Starsys.b

Но что именно делает это вредоносное приложение, будучи установленным на устройстве жертвы? Много всего разного, в том числе:

android.permission.READ_LOGS (читает на Android-устройстве архивные журналы, содержащие, в частности конфиденциальные личные данные пользователя)

android.permission.BLUETOOTH (получает доступ к настройкам Bluetooth на устройстве с возможностью изменять их и разрешать входящие соединения с других устройств, находящихся в зоне действия сигнала)

android.permission.INTERNET ( предоставляет приложениям доступ в интернет)

android.permission.RECEIVE_SMS  (получает доступ к сообщениям SMS с возможностью читать и даже удалять их без согласия жертвы)

android.permission.READ_CONTACTS (получает полный доступ к списку контактов пользователя)

Монетизация Adware-программы осуществляется через рекламный сервис RevMob https://www.revmobmobileadnetwork.com 

На сайте RevMob объясняется, как это работает:

 «Простой и эффективный рекламный блок предлагает пользователю загрузить бесплатное приложение. Вы получаете плату за клики и установку приложения ».

Вот для чего разработчики Adblock Plus создали свою поддельную программу. К счастью, к моменту написания этого текста вредоносное приложение уже было удалено из Google Play.

Подписывайтесь на мой Twitter: @dimitribest

Авторы

Ad Plus вместо AdBlock Plus

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    Таргетированная атака на промышленные предприятия и государственные учреждения

    Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

    ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

    ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

    Lazarus распространяет протрояненный DeFi-кошелек

    Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2023.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике