Исследователи безопасности Контрольно-пропускной пункт обнаружили новое вредоносное ПО под названием «Джуди», которое сейчас заражает миллионы Android-смартфонов по всему миру. По их словам, это, возможно, самая крупная вредоносная кампания в Google Play Store, которая уже заразила около 36.5 миллионов устройств Android.
Что такое Джуди?
Согласно сообщению в блоге, опубликованному Checkpoint в четверг, Judy - это рекламное ПО, которое используется для создания мошеннических кликов по рекламным объявлениям с целью получения дохода. Он генерирует ложные клики на пораженных устройствах, и почти 41 приложение распространяет это вредоносное ПО.
«Вредоносное ПО, получившее название« Judy », представляет собой рекламное ПО с автоматическим щелчком, которое было обнаружено в 41 приложении, разработанном корейской компанией. Вредоносная программа использует зараженные устройства для создания большого количества мошеннических кликов по рекламным объявлениям, принося прибыль злоумышленникам ».
Насколько широко он распространился?
Согласно сообщению в блоге Checkpoint, вредоносное ПО будет загружено примерно на 18.5 млн устройств, и оно может затронуть до 36.5 млн устройств. Некоторые из этих приложений уже давно находятся в магазине Google Play.
Кроме того, исследователи обнаружили еще несколько приложений, содержащих такое же вредоносное ПО, которые были разработаны другими разработчиками в Google Play. Связь между двумя кампаниями остается неясной, хотя исследователи считают, что возможно, что один разработчик позаимствовал код у другого «сознательно или неосознанно».
Как работает вредоносное ПО?
Мошеннические приложения действуют как мосты для подключения устройства пользователя к серверу рекламного ПО. Как только соединение установлено, вредоносная программа имитирует себя как браузер ПК, чтобы открывать страницу и генерировать клики.
«Чтобы обойти Bouncer, защиту Google Play, хакеры создают, казалось бы, безвредное приложение-плацдарм, предназначенное для установления соединения с устройством жертвы и вставки его в магазин приложений».
После того, как пользователь загружает вредоносное приложение, оно незаметно регистрирует пользовательское устройство на удаленном сервере управления и контроля и в ответ получает фактическую вредоносную полезную нагрузку, содержащую код JavaScript, который запускает настоящий вредоносный процесс.
«Вредоносная программа открывает URL-адреса с помощью пользовательского агента, который имитирует браузер ПК на скрытой веб-странице и получает перенаправление на другой веб-сайт. После запуска целевого веб-сайта вредоносное ПО использует код JavaScript, чтобы находить баннеры в рекламной инфраструктуре Google и нажимать на них », Исследователи говорят.
При нажатии на рекламу автор вредоносного ПО получает оплату от разработчика веб-сайта, который оплачивает незаконные клики и трафик.
Кто стоит за Джуди?
«Все вредоносные приложения разработаны корейской компанией Kiniwini, зарегистрированной в Google Play как ENISTUDIO corp. Компания разрабатывает мобильные приложения для платформ Android и iOS. Довольно необычно найти настоящую организацию, стоящую за мобильными вредоносными программами, поскольку большинство из них разрабатываются исключительно злоумышленниками ».
Как быть уверенным в своей безопасности?
После того, как Check Point уведомил Google об этой угрозе, Google удалил вредоносные приложения из магазина Play и обновил защиту Bouncer. Но на всякий случай вы можете проверить список вредоносных приложений, опубликованный исследовательской фирмой по безопасности. И если на вашем устройстве установлен какой-либо из них, немедленно удалите его.
Ранее в этом месяце программа-вымогатель под названием WannaCry нанесла ущерб более чем в 100 странах, поразив более 200,000 XNUMX компьютеров в странах, включая Россию и Великобританию. И вот эта вредоносная программа Judy появилась в мире Android-смартфонов. Видя, что вредоносная программа даже обошла защиту Google Play, похоже, что пользователи не могут даже полагаться на официальные магазины приложений для своей безопасности.
