Игроки Minecraft были подвергнуты мошенничеству и агрессивной рекламе, занесенными 87 мошенническими модами Minecraft, недавно обнаруженными в Google Play.
Приложения можно разделить на две категории – скачиватель, отображающий рекламу, обнаруженный ESET, как Android / TrojanDownloader.Agent.JL и поддельные приложения, перенаправляющие пользователей на мошеннические сайты, обнаруженные как Android / FakeApp.FG.
В общей сложности, 87 поддельных модов достигли 990 000 инсталляций, прежде чем мы сообщили о них 16 и 21 марта.
Скачиватель, отображающий рекламу
Рисунок 1. – скачиватель, отображающий рекламу под видом Minecraft модов в Google Play.
В первой категории было обнаружено 14 приложений с 80 000 инсталляций, выдающих себя за Minecraft моды. Подобно дропперу, отображающему рекламу, который был проанализирован нами ранее в марте, этот троян использует дополнительный компонент для показа рекламы вне приложения.
В этом случае компонент действует как модуль, необходимый для установки модов. Модуль не является частью оригинального приложения — его необходимо загрузить с веб-сайта и установить вручную после запуска.
Не имея реальной функциональности и отображая агрессивную рекламу, приложения не пользуются особой популярностью среди пользователей – о чем свидетельствуют низкие рейтинги и негативные отзывы в Google Play.
Рисунок 2. — Низкая оценка приложения в Google Play.
Как это работает?
При запуске приложения сразу же запрашиваются права администратора устройства. Как только администратор устройства активируется, появляется экран с кнопкой «INSTALL MOD». Одновременно push-уведомление информирует пользователя о том, что для продолжения установки требуется «специальная программа Block Launcher».
После нажатия кнопки «INSTALL MOD» пользователю предлагается установить дополнительный модуль «Block Launcher Pro», предоставляя ему несколько навязчивых разрешений (включая права администратора устройства) в этом процессе. Загружаемая во время установки полезная нагрузка обнаруживается ESET как Android / Hiddad.DA.
Установка модуля приводит пользователя в тупик — статичный экран на тему Minecraft без каких-либо кликабельных элементов. Единственной реальной функцией приложения и его модуля является реклама, которая теперь появляется на устройстве пользователя, прерывая его работу.
Рисунок 3 — Рекламные объявления вне приложения, показываемые на устройстве жертвы.
Интересно, что этот скачиватель, отображающий рекламу, представляет собой усовершенствованную версию приложения, которое было первоначально загружено в Google Play в феврале. В оригинальной версии использовался аналогичный интерфейс и также запрашивались права администратора устройства. Однако она не несла никакой функции загрузки, и, в отличие от скачивателя, проанализированного в этой статье, первая версия действительно предоставляла пользователю реальные Minecraft моды.
Так как результат этой эволюции — скачиватель — способен загружать любой вид дополнительной вредоносной программы на устройство жертвы, нет оснований полагать, что авторы вредоносной программы остановятся только на отображении нежелательной рекламы. Видя, что они могут заманить тысячи пользователей на инсталляцию своих вводящих в заблуждение приложений, более опасные угрозы, распространяемые под аналогичной маскировкой, могут стать следующим логическим шагом.
Видеозапись инсталляции
Поддельные приложения, перенаправляющие на мошеннические сайты
Остальные 73 из обнаруженных приложений используют старый прием переадресовки пользователей на мошеннические сайты. Приложения, обнаруженные ESET как Android / FakeApp.FG, были добавлены в Google Play в период с января по март и достигли почти 910 000 инсталляций, прежде чем мы сообщили о них.
исунок 4 — Мошеннические приложения под видом Minecraft модов в Google Play
Как это работает?
После запуска приложения отображаются на экране с кнопкой загрузки. Нажатие кнопки не загружает никаких модов, вместо этого перенаправляет пользователя на веб-сайт, открытый в браузере. На веб-сайтах отображаются все виды навязчивого контента — от объявлений, опросов, бесплатных купонов, выигрышей джек-пота, порно, и до поддельных обновлений, поддельных вирусных предупреждений пытающихся напугать пользователя. Сообщения отображаются у пользователей на разных языках в зависимости от их IP-адресов.
Рисунок 5 — Экран загрузки фальшивых изображений после запуска
Рисунок 6 – Мошеннические сообщения, появляющиеся при нажатии кнопки загрузки
Рисунок 7 – Локализованные мошеннические сообщения
Как защитить себя?
Если вам нравится скачивать моды для Minecraft, возможно, вы сталкивались с одной из этих вредоносных подделок.
С поддельными приложениями, перенаправляющими на сайты мошенников, это воздействие легко распознать — приложения не работают, и вы видели случайное мошенническое сообщение после нажатия на кнопку их поддельной загрузки.
В случае скачивателя, отображающего рекламу, также отсутствуют любые функции, а ваше устройство продолжает отображать несанкционированные объявления.
Однако, поскольку скачиватель способен загружать любые дополнительные приложения на зараженные устройства, может приложения отвечающие за показ рекламы заменить в будущем более опасной вредоносной программой.
Чтобы ваше устройство было свободно от вредоносных программ, используйте проверенное мобильное решение безопасности для обнаружения и устранения угроз.
Если вы хотите удалить вредоносное приложение вручную, вы можете сделать это, выполнив следующие шаги.
Чтобы очистить ваше устройство от скачивателя, отображающего рекламу, вам сначала нужно деактивировать права администратора устройства как для приложения, так и для загруженного модуля, находящегося в разделе «Настройки» -> «Безопасность» -> «Администраторы устройств», как показано на рис. 8. Затем вы можете удалить приложения, выбрав Настройки -> Диспетчер приложений.
Рисунок 8 — скачиватели и полезная нагрузка при активных администраторах устройств.
Рисунок 9 — загрузчики и полезная нагрузка в диспетчере приложений
С помощью приложения-мошенника деинсталляция на один шаг проще — вы можете удалить приложение в Настройках -> Диспетчер приложений.
Рисунок 10 — Поддельное приложение в диспетчере приложений.
Чтобы не быть обманутыми поддельными приложениями и вредоносными программами, выберайте официальные рынки приложений. Даже в этом случае проявляйте особую осторожность при загрузке сторонних приложений, предлагающих дополнительные функции для существующих приложений, поскольку в этих привлекательных предложениях может быть «уловка».
Перед загрузкой проверьте популярность приложения по числу инсталляций, оценкам и, самое главное, по содержанию обзоров. В случае этих приложений низкие рейтинги и сердитые отзывы были бы достаточно хорошим показателем их ненадежности.
Источник: WeLiveSecurity
