McAfee посчитала антивирусы у пользователей

Ежедневные долгие поездки в метро многие пытаются скоротать в компании своего Андроида – бесхитростные аркадные игры, которые можно легко загрузить в мобильный телефон, неплохо убивают время в ожидании своей остановки.

Вчера по дороге домой и я решил придаться этому нехитрому увеселению и поиграть во что-нибудь новенькое. Мой выбор пал на новую версию супер популярной серии про птиц «Angry Birds:Space». Устанавливать платную версию игрушки я не планировал, посчитав, что на ближайшие 50 минут, которые я собирался провести в ее компании, я вполне обойдусь и бесплатным вариантом. Бесплатную версию «космических птиц», так же как и версию платную, предоставляет «Rovio» и скачать ее можно в официальном магазине Google Play. Основное отличие платных «птиц» от бесплатных заключается в наличии в последних рекламных блоков. Эти-то рекламные блоки и привлекли мое внимание.

Пройдя пару-тройку уровней, я увидел первое окошко с рекламой. Оно не показалось мне слишком интересным и я его удачно проигнорировал. Еще через пару уровней было замечено окошко предлагавшее скачать новую версию браузера Opera. Мне стало несколько интереснее — мой глаз зацепился за номер версии – «6.2». Это показалось мне странным, ведь сейчас уже вышла 7-я версия – кто же станет рекламировать предыдущую? Красная лампочка «Alarm! Alarm!» у меня в сознании загорелась после выхода в свет в рекламном блоке предложения обновить Flash Player для Android – это ведь излюбленная уловка кибермошенников.



Вредоносная реклама в Angry Birds:Space Free

Добравшись до тестового компьютера, я решил изучить, куда же на самом деле ведут эти рекламные блоки. К сожалению, мои худшие ожидания быстро оправдались. Пройдя по ссылке из баннера в Angry Birds на тестовом устройстве, я увидел копию торгового центра Google Play. Насторожить внимательного пользователя должен тот факт, что фейковый магазин открывается прямо в браузере и в адресной строке видно, что это сайт находится в зоне «.net». Других отличий нет – дизайн практически идентичен официальной версии. Хотя если честно, то описание программы даже лучше, чем в оригинале: в истинном Google Play оно на английском, а тут кто-то постарался и перевел все на русский.

Поддельные магазины приложений Google Play

После нажатия кнопки «загрузить» с сайта был получен установочный файл для Android «adobe-systems-1.adobe-flash-player-11.apk», который на поверку оказался SMS-троянцем семейства Trojan-SMS.AndroidOS.Opfake. Конечно, сразу стал вопрос, где еще могут встретиться такие вредоносные баннеры, и я опять вернулся к своему мобильному телефонному аппарату.

Перебрав другие приложения на телефоне, я увидел, что и в них тоже есть вредоносная реклама. Например, в файловом менеджере Astro я увидел баннер, предлагающий скачать Яндекс.Навигатор. При проверке этого баннера на тестовом компьютере перед моим взором появился еще один фейк Google Play, который был расположен в доменной зоне «.in».

Предложенный «Яндекс.Навигатор», а помимо прочего «Opera Mini 6.2», упомянутая в начале этой истории, разумеется, помимо прочего оказались зловредами, детектируемыми Kaspersky Mobile Security как Trojan-SMS.AndroidOS.FakerInst.

Большинство вредоносных файлов было скачано с одного сайта dllfile***.net, через который удалось проследить путь к распространителям — партнерской программе WapS***.biz. Оказалось, что «партнеры», распространяющие зловредов от WapS***.biz, заказывают рекламу по легальным каналам. Затем эта реклама показывается в бесплатных версиях программ, скаченных с официального торгового центра Google Play. Кликнув по такой рекламе, пользователь попадает на неофициальный репозиторий приложений, в котором под видом хороших программ лежат зловреды.

Таким образом, нередко повисавший в воздухе вопрос «Как же пользователи так легко обретают неофициальные репозитории приложений?», нашел свой ответ. Пользователи не обретают такие «магазины», эти «магазины» находят пользователей сами. При этом отыскивают,разыскивают они с завидным упорством: каждый третий блок рекламы, показанный мне за этот день в безвозмездных версиях Angry Birds:Space и Astro, для русских пользователей, вел на скачивание вредоносного файла.



Пинг не поддерживается.

Оставить комментарий