Сотни тысяч Android-устройств в России поражены рекламным трояном

Безопасность Пользователю Техника
мобильная версия
, Текст: Сергей Попсулин

Исследователи насчитали свыше 200 тыс. Android-устройств в России, на которых используется вредоносное приложение для отображения рекламных объявлений.


$300 тыс. за день

Пекинская компания Yingmob Interactive Technology, владеющая платформой мобильной интернет-рекламы, распространяет среди Android-устройств вредоносное программное обеспечение HummingBad для накрутки кликов по объявлениям, которые размещаются в ее сети, сообщает разработчик антивирусов Check Point (PDF-отчет). Аналитики обнаружили это приложение в феврале 2016 г.

По данным исследователей, свое вредоносное приложение Yingmob размещает на различных сайтах. Когда владелец мобильного устройства посещает его, ему предлагается установить HummingBad на его Android-устройство. После этого приложение начинает отображать рекламные объявления.

Согласно Check Point, на сегодняшний день HummingBad установлен на 10 млн устройств и генерирует для Yingmob $300 тыс. выручки в месяц.

Отдельная группа разработчиков

В компании Yingmob для разработки и распространения HummingBad существует отдельное подразделение, которое включает четыре команды — всего 25 человек. Все они работают в одном из офисных центров в китайском городе Чунцин, установили исследователи.

Android-устройства поразил рекламный троян из Китая

Возможно более масштабная кампания

Аналитики распознали около 200 приложений, которые основаны на одних и тех же разработках указанной группы разработчиков, но отличаются незначительными модификациями. По оценке исследователей, примерно четверть из их приложений является вредоносной. При учете этого факта, в мире может находиться порядка 85 млн зараженных устройств.

География распространения

Наибольшее количество зараженных HummingBad устройств находится в Китае (около 1,6 млн), далее следуют Индия (1,4 млн), Филиппины (520 тыс.), Индонезия (490 тыс.) и Турция (450 тыс). В России, по данным Check Point, вредоносное приложение установлено на 208 тыс. устройствах.

Связь с Yispecter

В октябре 2015 г. компания Palo Alto Networks обнаружила троян YiSpecter, заражающий iPhone и iPad вне зависимости от того, была ли выполнена модификация его прошивки (джейлбрейк). Вредоносное программное обеспечение попадало на устройства при помощи подписанных корпоративных сертификатов и позволяло злоумышленникам устанавливать и выполнять на устройстве любые вредоносные приложения, заменять существующие программы, внедрять рекламу в сторонние приложения, менять домашнюю страницу в браузере Safari, менять закладки и открытые страницы, отправлять информацию об устройстве на командно-контрольный сервер.

Как установили в Check Point, за YiSpecter стоят те же люди, что и за HummingBad. Во-первых, оба приложения используют один и тот же командно-контрольный сервер. Во-вторых, в репозитории HummingBad обнаружилась документация к плееру QvodPlayer, который был целью атаки создателей YiSpecter.

Новые векторы атак

По словам исследователей, со временем количество подобных вредоносных кампаний будет расти, так как они открывают хакерам новые перспективы. Во-первых, посредством кампаний, позволяющих накручивать клики, злоумышленники могут полностью содержать себя финансово. Во-вторых, большое количество зараженных устройств позволяет при необходимости использовать их для создания ботнета, которому могут быть поручены совершенно новые задачи.