«Злые птички»: вредоносная реклама в наших мобильниках

«Магазины» находят пользователей сами. При этом ищут они с завидным упорством: каждый третий блок рекламы, показанный мне в бесплатных версиях Angry Birds:Space и Astro, для русских пользователей, вел на скачивание вредоносного файла.

 Ежедневные длительные поездки в метро многие пытаются скоротать в компании своего Андроида – незамысловатые аркадные игры, которые можно легко загрузить в мобильный телефон, неплохо убивают время в ожидании своей остановки.

Вчера по дороге домой и я решил придаться этому нехитрому увеселению и поиграть во что-нибудь новенькое. Мой выбор пал на новую версию супер популярной серии про птиц «Angry Birds:Space».

Устанавливать платную версию игрушки я не планировал, посчитав, что на ближайшие 50 минут, которые я собирался провести в ее компании, я вполне обойдусь и бесплатным вариантом. Бесплатную версию «космических птиц», так же как и версию платную, предоставляет «Rovio» и скачать ее можно в официальном магазине Google Play. Основное отличие платных «птиц» от бесплатных заключается в наличии в последних рекламных блоков. Эти-то рекламные блоки и привлекли мое внимание. 

Google намерен пожизненно блокировать рекламодателей, размещающих мошеннические и вредоносные объявления. Поисковик уже начал замораживать учетные записи AdWords, принадлежащие нарушителям правил сервиса В течение 5 лет страницы, на которые ведут рекламные объявления, особо исследуются интернет-роботами Google. Однако до сих пор Google, обнаружив подозрительную страницу, проверял ее, и только потом блокировал. Контекстная реклама (PPC advertising) является одним из наиболее эффективных инструментов продвижения. Google AdWords предоставляет рекламные возможности для предприятий любого размера.

Google будет блокировать рекламных мошенников на всю жизнь 

Пройдя пару-тройку уровней, я увидел первое окошко с рекламой. Оно не показалось мне слишком интересным и я его успешно проигнорировал. Еще через пару уровней появилось окошко предлагавшее скачать новую версию браузера Opera. Мне стало несколько интереснее — мой глаз зацепился за номер версии – «6.2».

Это показалось мне странным, ведь сейчас уже вышла 7-я версия – кто же станет рекламировать предыдущую? Красная лампочка «Alarm! Alarm!» у меня в сознании загорелась после появления в рекламном блоке предложения обновить Flash Player для Android – это ведь излюбленная уловка кибермошенников.

Вредоносная реклама в Angry Birds:Space Free

Вредоносная реклама в Angry Birds:Space Free

Вредоносная реклама в Angry Birds:Space Free

Добравшись до тестового компьютера, я решил изучить, куда же на самом деле ведут эти рекламные блоки. К сожалению, мои худшие ожидания быстро оправдались. Пройдя по ссылке из баннера в Angry Birds на тестовом устройстве, я увидел копию магазина Google Play. Насторожить внимательного пользователя должен тот факт, что фейковый магазин открывается прямо в браузере и в адресной строке видно, что это сайт находится в зоне «.net». Других отличий нет – дизайн практически идентичен официальной версии. Хотя если честно, то описание программы даже лучше, чем в оригинале: в настоящем Google Play оно на английском, а тут кто-то постарался и перевел все на русский.

Поддельные магазины приложений Google Play

Поддельные магазины приложений Google Play

После нажатия кнопки «загрузить» с сайта был получен установочный файл для Android «adobe-systems-1.adobe-flash-player-11.apk», который на поверку оказался SMS-троянцем семейства Trojan-SMS.AndroidOS.Opfake. Конечно, сразу стал вопрос, где еще могут встретиться такие вредоносные баннеры, и я опять вернулся к своему мобильному телефону.

Перебрав другие приложения на телефоне, я увидел, что и в них тоже есть вредоносная реклама. Например, в файловом менеджере Astro я увидел баннер, предлагающий скачать Яндекс.Навигатор. При проверке этого баннера на тестовом компьютере перед моим взором явился еще один фейк Google Play, который был расположен в доменной зоне «.in».

Предложенный «Яндекс.Навигатор», а также «Opera Mini 6.2», упомянутая в начале этой истории, разумеется, также оказались зловредами, детектируемыми Kaspersky Mobile Security как Trojan-SMS.AndroidOS.FakerInst.

Большинство вредоносных файлов было скачано с одного сайта dllfile***.net, через который удалось проследить путь к распространителям — партнерской программе WapS***.biz.

Оказалось, что «партнеры», распространяющие зловредов от WapS***.biz, заказывают рекламу по легальным каналам. Затем эта реклама показывается в бесплатных версиях программ, скаченных с официального магазина Google Play. Кликнув по такой рекламе, пользователь попадает на неофициальный репозиторий приложений, в котором под видом хороших программ лежат зловреды.

Таким образом, нередко повисавший в воздухе вопрос «Как же пользователи так легко находят неофициальные репозитории приложений?», нашел свой ответ. Пользователи не находят такие «магазины», эти «магазины» находят пользователей сами. При этом ищут они с завидным упорством: каждый третий блок рекламы, показанный мне за этот день в бесплатных версиях Angry Birds:Space и Astro, для русских пользователей, вел на скачивание вредоносного файла. 

Автор: Юрий Наместников, эксперт «Лаборатории Касперского», securelist.com 

Читайте также: