Меню контента Закрыть

Исследование

Ad Plus вместо AdBlock Plus

Исследование

мин. на чтение

Авторы

Это один из тех случаев, когда пользователь ищет защиту, а находит лишь проблемы. Мой друг Серхио де лос Сантос (Sergio de los Santos) прислал мне ссылку на поддельное приложение, замаскированное под AdBlock Plus – широко известную и полезную программу, которое многие пользователи используют в своих браузерах. На момент загрузки поддельное приложение было активно в Google Play, и все, кто его загрузил, вместо программы, блокирующей нежелательную рекламу в браузере, получили нечто противоположное – еще больше рекламы и проблемы с сохранностью конфиденциальных данных.

Я могу с уверенностью это утверждать, поскольку анализ кода показал, что это приложение – образец рекламного ПО (Adware). Продукты «Лаборатории Касперского» детектируют его как HEUR:AdWare.AndroidOS.Starsys.b

Но что именно делает это вредоносное приложение, будучи установленным на устройстве жертвы? Много всего разного, в том числе:

android.permission.READ_LOGS (читает на Android-устройстве архивные журналы, содержащие, в частности конфиденциальные личные данные пользователя)

android.permission.BLUETOOTH (получает доступ к настройкам Bluetooth на устройстве с возможностью изменять их и разрешать входящие соединения с других устройств, находящихся в зоне действия сигнала)

android.permission.INTERNET ( предоставляет приложениям доступ в интернет)

android.permission.RECEIVE_SMS  (получает доступ к сообщениям SMS с возможностью читать и даже удалять их без согласия жертвы)

android.permission.READ_CONTACTS (получает полный доступ к списку контактов пользователя)

Монетизация Adware-программы осуществляется через рекламный сервис RevMob https://www.revmobmobileadnetwork.com 

На сайте RevMob объясняется, как это работает:

 «Простой и эффективный рекламный блок предлагает пользователю загрузить бесплатное приложение. Вы получаете плату за клики и установку приложения ».

Вот для чего разработчики Adblock Plus создали свою поддельную программу. К счастью, к моменту написания этого текста вредоносное приложение уже было удалено из Google Play.

Подписывайтесь на мой Twitter: @dimitribest

Авторы

Ad Plus вместо AdBlock Plus

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2024.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике