Upp till 36,5 miljoner Android-enheter kan ha infekterats med skadlig programvara som hittats i mer än 41 appar på Google Play Butik, som säkerhetsforskare säger genererar falska klick för annonser.
Skadlig programvara, som heter “Judy”, upptäcktes av ett säkerhetsforskningsföretag Checkpoint i mer än 41 appar tillgängliga på Play Store, misstänkt utvecklade av ett sydkoreanskt företag Kinwini och publicerade under namnet ENISTUDIO Corp.
“Den skadliga programvaran använder infekterade enheter för att generera ett stort antal bedrägliga klick på annonser, vilket genererar intäkter för människorna bakom det”, sa Checkpoint i ett blogginlägg.
Enligt Checkpoint är det möjligt att utvecklare har lånat skadlig kod från andra, avsiktligt eller oavsiktligt, vilket orsakar en ökning i antalet telefoner infekterade med skadlig programvara.
“Det är oklart hur länge den skadliga koden har funnits i apparna, så den verkliga omfattningen av skadlig programvaras spridning är okänd, men vad dessa nedladdningssiffror betyder,” sa Check Point. “Den totala spridningen av skadlig programvara kan ha nått 8,5 miljoner och 36,5 miljoner användare. “
Forskningsföretaget noterar att skadlig kod har gömts i en app sedan april 2016 utan att Google har upptäckt det.
Google tog “snabbt” bort de infekterade apparna från Play Butik efter att ha blivit underrättade om deras existens, men inte innan dess hade de “nått en otrolig mängd viralitet mellan 4,5 miljoner och 18,5” miljoner nedladdningar. “
Checkpoint tillägger: “Några av de skadliga program som vi upptäckte har funnits på Google Play i flera år, men alla uppdaterades nyligen.
Vad är Judy och hur fungerar det?
Skadlig programvara “Judy” är ett automatiskt klickande annonsprogram som hjälper företag att öka sina intäkter. Hackare har utformat skadlig programvara på ett sådant sätt att den går förbi Google Play Butiks skydd. Det är “en godartad brohuvudsapp, vilket innebär att man upprättar en anslutning till offrets enhet och sätter in den i appbutiken.”
Checkpoint förklarar: “När en användare har laddat ner ett skadligt program, registrerar den tyst mottagare som upprättar en anslutning till kommando- och kontrollservrar. Servern svarar med den faktiska skadliga nyttolasten, som inkluderar JavaScript-kod, användaragentsträngar och webbadresser som kontrolleras av skadlig programvara. Skadlig programvara öppnar webbadresser med en användaragent som efterliknar en PC-webbläsare på en dold webbplats och tar emot en omdirigering till en annan webbplats. När den riktade webbplatsen lanseras använder skadlig programvara JavaScript-kod för att hitta och klicka på banners från Googles reklaminfrastruktur.
“När en annons klickas får författaren av skadlig programvara en betalning från webbplatsutvecklaren, som betalar för de olagliga klicken och trafiken.”
. .
…
