Поделиться
Сотни тысяч Android-устройств в России поражены рекламным трояном
Исследователи насчитали свыше 200 тыс. Android-устройств в России, на которых используется вредоносное приложение для отображения рекламных объявлений.
$300 тыс. за день
Пекинская компания Yingmob Interactive Technology, владеющая платформой мобильной интернет-рекламы, распространяет среди Android-устройств вредоносное программное обеспечение HummingBad для накрутки кликов по объявлениям, которые размещаются в ее сети, сообщает разработчик антивирусов Check Point (PDF-отчет). Аналитики обнаружили это приложение в феврале 2016 г.
По данным исследователей, свое вредоносное приложение Yingmob размещает на различных сайтах. Когда владелец мобильного устройства посещает его, ему предлагается установить HummingBad на его Android-устройство. После этого приложение начинает отображать рекламные объявления.
Согласно Check Point, на сегодняшний день HummingBad установлен на 10 млн устройств и генерирует для Yingmob $300 тыс. выручки в месяц.
Отдельная группа разработчиков
В компании Yingmob для разработки и распространения HummingBad существует отдельное подразделение, которое включает четыре команды — всего 25 человек. Все они работают в одном из офисных центров в китайском городе Чунцин, установили исследователи.
Возможно более масштабная кампания
Аналитики распознали около 200 приложений, которые основаны на одних и тех же разработках указанной группы разработчиков, но отличаются незначительными модификациями. По оценке исследователей, примерно четверть из их приложений является вредоносной. При учете этого факта, в мире может находиться порядка 85 млн зараженных устройств.
География распространения
Наибольшее количество зараженных HummingBad устройств находится в Китае (около 1,6 млн), далее следуют Индия (1,4 млн), Филиппины (520 тыс.), Индонезия (490 тыс.) и Турция (450 тыс). В России, по данным Check Point, вредоносное приложение установлено на 208 тыс. устройствах.
Связь с Yispecter
В октябре 2015 г. компания Palo Alto Networks обнаружила троян YiSpecter, заражающий iPhone и iPad вне зависимости от того, была ли выполнена модификация его прошивки (джейлбрейк). Вредоносное программное обеспечение попадало на устройства при помощи подписанных корпоративных сертификатов и позволяло злоумышленникам устанавливать и выполнять на устройстве любые вредоносные приложения, заменять существующие программы, внедрять рекламу в сторонние приложения, менять домашнюю страницу в браузере Safari, менять закладки и открытые страницы, отправлять информацию об устройстве на командно-контрольный сервер.
Как установили в Check Point, за YiSpecter стоят те же люди, что и за HummingBad. Во-первых, оба приложения используют один и тот же командно-контрольный сервер. Во-вторых, в репозитории HummingBad обнаружилась документация к плееру QvodPlayer, который был целью атаки создателей YiSpecter.
Новые векторы атак
По словам исследователей, со временем количество подобных вредоносных кампаний будет расти, так как они открывают хакерам новые перспективы. Во-первых, посредством кампаний, позволяющих накручивать клики, злоумышленники могут полностью содержать себя финансово. Во-вторых, большое количество зараженных устройств позволяет при необходимости использовать их для создания ботнета, которому могут быть поручены совершенно новые задачи.
Короткая ссылка
