Киберпреступникам удалось установить на сотни тысяч устройств под управлением Android вредоносное ПО, спрятав его в нескольких приложениях. Вирус попал в Google Play в обличье семи программ — шести сканеров QR-кодов и одного «умного компаса».
После установки приложения должно было пройти шесть часов, прежде чем оно начнёт показывать на весь экран вредоносную рекламу, открывать навязчивые объявления на интернет-страницах и присылать уведомления с подозрительными ссылками.
Предположительно, вирус под названием Andr/HiddnAd-AJ, обнаруженный SophosLabs, заразил устройства как минимум миллиона пользователей. Эта цифра может быть гораздо больше — одно из приложений было загружено 500 тысяч раз, прежде чем его удалили из Google Play.
При первом запуске заражённое приложение отправляет запрос на сервер злоумышленников, чтобы получить необходимую конфигурацию. Чтобы это скрыть, в первые несколько часов после установки программа не производит никаких вредоносных действий.
После этого приложение получает доступ к списку ссылок, сообщений и иконок, которые вскоре начинают захламлять смартфон жертвы. Вирусу «помогает» специальный код, замаскированный под обычную библиотеку Android.
В дополнение к стандартным компонентам злоумышленники оснастили приложения «графической» секцией. Она выглядит невинно, но содержит инструкции по получению всей информации и файлов для запуска вредоносной рекламы.
SophosLabs уведомила Google о проблеме, и та удалила приложения с вирусами из магазина. Несмотря на то, что калифорнийскому гиганту самостоятельно не удалось выявить вредоносный код в этих приложениях, SophosLabs рекомендует загружать программы только из Google Play.