«Злые птички»: вредоносная реклама в наших мобильниках
«Магазины» находят пользователей сами. При этом ищут они с завидным упорством: каждый третий блок рекламы, показанный мне в бесплатных версиях Angry Birds:Space и Astro, для русских пользователей, вел на скачивание вредоносного файла.
Ежедневные длительные поездки в метро многие пытаются скоротать в компании своего Андроида – незамысловатые аркадные игры, которые можно легко загрузить в мобильный телефон, неплохо убивают время в ожидании своей остановки.
Вчера по дороге домой и я решил придаться этому нехитрому увеселению и поиграть во что-нибудь новенькое. Мой выбор пал на новую версию супер популярной серии про птиц «Angry Birds:Space».
Устанавливать платную версию игрушки я не планировал, посчитав, что на ближайшие 50 минут, которые я собирался провести в ее компании, я вполне обойдусь и бесплатным вариантом. Бесплатную версию «космических птиц», так же как и версию платную, предоставляет «Rovio» и скачать ее можно в официальном магазине Google Play. Основное отличие платных «птиц» от бесплатных заключается в наличии в последних рекламных блоков. Эти-то рекламные блоки и привлекли мое внимание.
Google намерен пожизненно блокировать рекламодателей, размещающих мошеннические и вредоносные объявления. Поисковик уже начал замораживать учетные записи AdWords, принадлежащие нарушителям правил сервиса В течение 5 лет страницы, на которые ведут рекламные объявления, особо исследуются интернет-роботами Google. Однако до сих пор Google, обнаружив подозрительную страницу, проверял ее, и только потом блокировал. Контекстная реклама (PPC advertising) является одним из наиболее эффективных инструментов продвижения. Google AdWords предоставляет рекламные возможности для предприятий любого размера.
Пройдя пару-тройку уровней, я увидел первое окошко с рекламой. Оно не показалось мне слишком интересным и я его успешно проигнорировал. Еще через пару уровней появилось окошко предлагавшее скачать новую версию браузера Opera. Мне стало несколько интереснее – мой глаз зацепился за номер версии – «6.2».
Это показалось мне странным, ведь сейчас уже вышла 7-я версия – кто же станет рекламировать предыдущую? Красная лампочка «Alarm! Alarm!» у меня в сознании загорелась после появления в рекламном блоке предложения обновить Flash Player для Android – это ведь излюбленная уловка кибермошенников.
Вредоносная реклама в Angry Birds:Space Free
Добравшись до тестового компьютера, я решил изучить, куда же на самом деле ведут эти рекламные блоки. К сожалению, мои худшие ожидания быстро оправдались. Пройдя по ссылке из баннера в Angry Birds на тестовом устройстве, я увидел копию магазина Google Play. Насторожить внимательного пользователя должен тот факт, что фейковый магазин открывается прямо в браузере и в адресной строке видно, что это сайт находится в зоне «.net». Других отличий нет – дизайн практически идентичен официальной версии. Хотя если честно, то описание программы даже лучше, чем в оригинале: в настоящем Google Play оно на английском, а тут кто-то постарался и перевел все на русский.
Поддельные магазины приложений Google Play
После нажатия кнопки «загрузить» с сайта был получен установочный файл для Android «adobe-systems-1.adobe-flash-player-11.apk», который на поверку оказался SMS-троянцем семейства Trojan-SMS.AndroidOS.Opfake. Конечно, сразу стал вопрос, где еще могут встретиться такие вредоносные баннеры, и я опять вернулся к своему мобильному телефону.
Перебрав другие приложения на телефоне, я увидел, что и в них тоже есть вредоносная реклама. Например, в файловом менеджере Astro я увидел баннер, предлагающий скачать Яндекс.Навигатор. При проверке этого баннера на тестовом компьютере перед моим взором явился еще один фейк Google Play, который был расположен в доменной зоне «.in».
Предложенный «Яндекс.Навигатор», а также «Opera Mini 6.2», упомянутая в начале этой истории, разумеется, также оказались зловредами, детектируемыми Kaspersky Mobile Security как Trojan-SMS.AndroidOS.FakerInst.
Большинство вредоносных файлов было скачано с одного сайта dllfile***.net, через который удалось проследить путь к распространителям – партнерской программе WapS***.biz.
Оказалось, что «партнеры», распространяющие зловредов от WapS***.biz, заказывают рекламу по легальным каналам. Затем эта реклама показывается в бесплатных версиях программ, скаченных с официального магазина Google Play. Кликнув по такой рекламе, пользователь попадает на неофициальный репозиторий приложений, в котором под видом хороших программ лежат зловреды.
Таким образом, нередко повисавший в воздухе вопрос «Как же пользователи так легко находят неофициальные репозитории приложений?», нашел свой ответ. Пользователи не находят такие «магазины», эти «магазины» находят пользователей сами. При этом ищут они с завидным упорством: каждый третий блок рекламы, показанный мне за этот день в бесплатных версиях Angry Birds:Space и Astro, для русских пользователей, вел на скачивание вредоносного файла.
Автор: Юрий Наместников, эксперт «Лаборатории Касперского», securelist.com
Tweet
