Исследователи Check Point Research обнаружили новую масштабную вредоносную кампанию в Google Play. Особая разновидность рекламного вредоносного ПО была обнаружена в 206 приложениях, а общее количество скачиваний достигло почти 150 миллионов. Вредоносная программа, в основном, скрывалась в игры-симуляторах, из-за чего получила название SimBad.
Функционал SimBad можно разделить на три группы: показ рекламы, фишинг и доступ к другим приложениям. Благодаря способности зловреда открывать магазины приложений, таких как Google Play и 9Apps, злоумышленник может установить дополнительное вредоносное ПО с назначенного сервера.
Как только пользователь загружает и устанавливает одно из зараженных приложений, вредоносная программа подключается к указанному командному серверу для выполнения определенных действий. SimBad обладает широкими возможностями, таких как удаление значка с панели запуска, что усложняет его удаление пользователем, запуск фоновой рекламы и открытие браузера с заданным URL-адресом.
Командный сервер, наблюдаемый в этой кампании, — www[.]addroider.com. Домен был зарегистрирован через хостинг GoDaddy и использует службу защиты конфиденциальности. При заходе на домен из браузера вы получаете страницу входа, очень похожую на другие панели вредоносных программ. Ссылки регистрации "Register" и "Sign Up" не работают и "перенаправляют" пользователя обратно на страницу входа.
Согласно анализу RiskIQ, срок действия домена истек 7 месяцев назад. В результате, возможно, вы просматриваете взломанный, присвоенный домен, который изначально использовался на законных основаниях, но теперь участвует в злоумышленных действиях. Сейчас SimBad действует как рекламное вредоносное приложение, открывая рекламные страницы, однако обладает большим функционалом, способным на большую угрозу.
Вредоносная кампания была обнаружена экспертами еще в январе 2019 года, и Check Point сообщает, что уже в конце февраля все зараженные приложения были удалены из Google Play.
