Вредоносный код HummingWhale найден в 20 приложениях Play Store

В начале прошлого года Android-сообщество боролось с вредоносным приложением HummingBad. Как оказалось по результатам исследования компании Check Point, полностью победить его не удалось. Более того, его версия HummingWhale найдена прямо в Google Play store, внутри более двадцати приложений с миллионами загрузок.

Оригинальный код HummingBad поразил десятки миллионов гаджетов в прошлом году и зарабатывал своим разработчикам около $300,000 в месяц. Этого он добивался, встраиваясь в приложения, имитируя клики по рекламе, установку приложений и подобные связанные с рекламой действия. К счастью, воровство личных данных не было его задачей.

Что такое HummingWhale 

Версия HummingWhale — это более продвинутый вариант вредоносного программного обеспечения, и он ещё лучше справляется со своими целями. Заражённые им приложения в Google Play выкладываются в магазине приложений от имени несуществующих китайских разработчиков. В каждом из этих приложений есть зашифрованный файл подозрительно большого размера.

Вот несколько примеров названий заражённых приложений: Whale Camera, Blinking Camera, Orange Camera, Ocean camera, SmartAlbums, Elephant Album, File Explorer, File Master, Easter Rush, FlappyCat, Topspeed Test2, Tiny Cleaner, Hot Cleaner. Больше всего названий связано именно с камерой. Есть также семейства названий, связанных с альбомами, очисткой устройства и управлением файлами, ну и парочка заголовков с обещанием неприличного контента.

Вредоносный код способен загружать и запускать другие приложения. Он даже может использовать Android-плагин для создания виртуальной машины.

Механизм действия

Обосновавшись на вашем гаджете, приложение загружает фальшивую рекламу и приложение и предлагает рекламный баннер пользователю. Когда пользователь пытается закрыть рекламу, приложение, которое уже было тайно загружено, запускается в режиме виртуальной машины и работает, как будто оно представляет собой новое устройство. Так появляется фальшивый реферальный идентификатор, который используется разработчиком для монетизации рекламных показов и подобных способов заработка.

Мошенническое приложение умудряется получить ещё больше возможностей, чем его предшественник. Оно может устанавливать другие приложения, не получая разрешений и не сообщая об этом пользователю. Так что на вашем устройстве может оказаться установлено множество подобных приложений, а вы даже не будете об этом знать. Сильной перегрузки заметно не будет — код заботится о своей незаметности.

Чтобы увеличить количество загрузок начинённых вредоносным ПО приложений, HumingWhale ещё и создаёт для них фальшивые комментарии и оценки в Google Play, используя полученный доступ. К счастью, живым пользователям комментировать тоже никто не мешает.

Как распознать вредоносное ПО на Android

Конечно, исследователи из Check Point сразу же сообщили в Google о найденных вредоносных приложениях, и их удалили из Google Play. Но сам факт того, что они до сих пор там были, в который раз призывает пользователей к осторожности и вниманию к живым комментариям от настоящих пользователей. Общая черта у всех этих приложений была: пользователи в комментариях жаловались, что после установки программа открылась один раз, тут же закрылась и так каждый раз при попытке запуска. Если вам встретится подобное — лучше обойдите стороной, даже если общий рейтинг у приложения не самый низкий. Хорошие оценки вполне могут быть фальшивыми.