Согласно сообщению аналитиков компании «Доктор Веб», в мобильном приложении, предназначенном для управления развлекательными средствами для взрослых, был обнаружен вредоносный троянский компонент, классифицируемый как троян-кликер.
Компонент антивирусной защиты Dr.Web Security Space для операционной системы Android, известный как Origins Tracing и предназначенный для выявления угроз на основе поведенческого анализа, идентифицировал в данном приложении вредоносную программу под обозначением Android.Click.414.origin. Примечательно, что она маскировалась под библиотеку com.android.logcatch, которая используется для сбора отладочной информации.
Подобное вредоносное программное обеспечение способно незаметно для пользователя открывать рекламные веб-страницы и совершать кликовые взаимодействия с ними. Эти функциональные возможности могут быть задействованы злоумышленниками для скрытого показа рекламных материалов, накрутки переходов по ссылкам, оформления платных подписок или осуществления распределенных атак типа «отказ в обслуживании» (DDoS-атак).
Как рассказали специалисты «Доктор Веб», данный троянский компонент может передавать на свой управляющий сервер широкий спектр данных об устройстве пользователя, включая сведения о его бренде, модели, версии операционной системы, IP-адресе, регионе, выбранном в настройках, и коде мобильного оператора. Используя встроенный в Android компонент WebView, этот вредонос способен незаметно для пользователя открывать веб-страницы, просматривать их содержимое, заполнять формы данными, отключать звук на страницах с аудио- или видеоконтентом. Кроме того, он может создавать скриншоты отображаемых веб-ресурсов и передавать их на свой серверный узел для последующего анализа пикселей и определения мест кликов. Также данный троян может осуществлять поиск рекламных ссылок по ключевым словам через поисковые системы Bing, Yahoo и Google.
Примечательно, что изначально данное приложение было загружено пользователями из официального магазина Google Play. В «Доктор Веб» сообщили, что внедрение вредоносного кода произошло относительно недавно — в нескольких последних релизах, начиная с версии 1.8.1. При этом разработчик под псевдонимом Love Spouse уже выпустил обновленную версию приложения 1.8.8, в которой угрозы больше не обнаруживаются.
Помимо этого, аналогичный вредоносный компонент был выявлен специалистами «Доктор Веб» и в мобильном приложении QRunning, предназначенном для отслеживания физической активности. Однако в этом случае разработчики пока не предоставили корректирующее обновление для устранения выявленной угрозы.
