Вирусные аналитики компании «Доктор Веб» сообщили о приложении для Android, которое содержало троян-кликер.

Троян незаметно открывает рекламные сайты и выполняет клики на сайтах — злоумышленники обычно используют это для скрытого показа рекламы, накрутки переходов по ссылкам, оформления платных подписок или же DDoS-атак.

  • Изначально компонент Origins Tracing в приложении Dr.Web Security Space для Android предупредил одного из пользователей о заражении устройства.
  • Технология Origins Tracing выявила подозрительный код в приложении Love Spouse для управления игрушками для взрослых. Эта программа было загружена из Google Play.
  • В составе приложения оказался троян-кликер Android.Click.414.origin. Он маскируется под компонент для сбора отладочный информации — библиотеку com.android.logcatch.
  • Этот же троян-кликер обнаружили в приложении QRunning для отслеживания физической активности.
  • Эксперты выявили модульную структуру в новом трояне Android.Click.414.origin. Один из модулей предназначен для получения информации об устройстве, а другие два выполняют скрытую загрузку веб-страниц, показывают рекламу и совершают клики.
  • Троян работает избирательно и не запускается на устройствах, где языком интерфейса выбран китайский.
  • Этот троян является модификацией Android.Click.410.origin, который обнаружили в апреле 2023-го. Тогда антивирус обнаружил файл, являющийся загрузчиком этого трояна, в системной области ТВ-приставки.

Изначально троян-кликер заметили на неофициальных сайтах с приложениями для Android, однако он проник в Google Play в феврале 2024 года. Именно в этот период Love Spouse, вероятно, было скомпрометировано после выпуска версии 1.8.1, где трояна ещё не было.

Что интересно, Love Spouse и QRunning выпускаются китайскими разработчиками. Суммарно их установили на более чем 1,5 млн устройств. При этом внедрение вредоносного кода произошло недавно, в нескольких последних релизах.

Разработчик Love Spouse обновил приложение и с версии 1.8.8 трояна-кликера в нём больше нет, уточняют в компании «Доктор Веб». А вот разработчик QRunning приложение не обновлял.

©