Украли приложение, добавили рекламу

Некоторое время назад я писал про «доски предложений» (offer walls), которые используются для организации утечки пользовательских данных и их сбора. Но теперь появились основания считать, что жертвами атаки становятся не только отдельные пользователи. Недавно, просматривая новостной ресурс Reddit, я натолкнулся на рассказ популярного разработчика Android-приложений о том, что другой разработчик украл его приложение, добавил туда код, предназначенный для распространения рекламного спама, и загрузил его на Android Market под тем же названием, но уже через свою учетную запись. Спустя некоторое время я убедился в том, что это правда.

Приложение под названием ElectricSleep было создано Джоном Уиллисом (Jon Willis). Вы можете найти его ВОТ ЗДЕСЬ.

Согласно описанию, приложение может «улучшить качество вашего сна с помощью интеллектуального будильника. ElectricSleep – это будильник, записывающий циклы вашего сна и бережно пробуждающий вас во время фазы быстрого сна. Данные о вашем сне сохраняются и анализируются, чтобы помочь вам разобраться с тем, как вы спите, и выработать привычку к более здоровому сну».

Если сравнить ворованную версию приложения с исходной, следы вмешательства злоумышленников сразу же станут очевидны, стоит только взглянуть на разрешения, запрашиваемые программой:

Оригинал не требует разрешения на определение местоположения устройства (Location):

Проанализировав функционал копии приложения, я обнаружил, что к исходному коду была добавлена библиотека, позволяющая распространять его по принципу «оплата за загрузку» (Pay-Per-Install, PPI). Библиотека входит в состав SDK, созданного некой компанией, именуемой AirPush:

Компания занимается именно тем, о чем говорит ее название. Она загружает (push) различные виды рекламных сообщений на пользовательские устройства. Реклама позволяет заработать разработчику приложения, а в данном случае – тому, кто его скопировал и выдал за свое. Сколько именно можно заработать? Вот что сказано на сайте Airpush:

«Разработчики Airpush зарабатывают CPM в пределах $6 — $40. CPM расшифровывается как «Cost Per M», то есть цена за тысячу. Речь тут идет о сумме, которую Airpush выплачивает разработчику приложения за тысячу просмотров. При этом размер вознаграждения все время колеблется.

Таким образом, произошло следующее: нечистый на руку разработчик загрузил приложение г на Уиллиса, добавил код для оплаты за загрузку (PPI), а затем загрузил измененное приложение под видом своего собственного в другую учетную запись на Android Market. Это приложение уже удалено, однако учетная запись злоумышленника по-прежнему активна.

Пользователи, несомненно, страшно устали от назойливой рекламы, появляющейся без предупреждения. Поэтому еще один разработчик выпустил приложение под названием AirPush Detector, способное обнаруживать рекламные модули, внедренные в приложения. Хотя эти сервисы с оплатой за загрузку не являются незаконными, они зачастую досаждают пользователям, а кража приложений с последующим добавлением в них рекламного кода – это, конечно же, прямое нарушение лицензионного соглашения, которое принимают разработчики приложений для Android.

AirPush Detector можно найти ВОТ ЗДЕСЬ.