75 приложений в Google Play и 10 в App Store были задействованы в мошеннической схеме, появившейся еще в 2019 году.
Очередная волна таких приложений, ставшая уже третьей, получила имя Scylla (“Сцилла”). Она последовала за аналогичными волнами в августе 2019 и в конце 2020 годов. Они назывались “Посейдон” и “Харибда”.
Пользователи установили эти приложения более 13 миллионов раз, прежде чем их изъяли с площадок. “Посейдон” включала в себя более 40 приложений для Android. Они показывали нецелевую и скрытую рекламу.
“Харибда” стала улучшенной версией своего предшественника. В ней использовались методы обфускации1 кода приложений для обмана рекламных платформ.
Cо “Сциллой” преступники пошли дальше. Теперь под угрозой и OC iOS. Злоумышленники используют дополнительные уровни обфускации с помощью Allatori Java. Эти приложения после установки производят такие мошеннические действия с рекламой, на которые были не способны предыдущие версии вредоносного ПО.
Приложения этой волны выглядят как свои “родители” (например, популярные стриминговые сервисы). Они производят манипуляции с рекламным SDK. В них показывается нецелевая и скрытая реклама через Webviews и производятся скликивания рекламы на монетизируемых мошенниками ресурсах.
По словам специалистов, злоумышленники кодируют свои приложения так, чтобы они были похожи на “родителя”. Цель – привлечь и обмануть рекламодателей, само приложение их мало интересует.
Пользователям рекомендуется тщательно изучать приложения перед их загрузкой и избегать сторонних площадок, на которых могут присутствовать вредоносные приложения.
1 – Обфуска́ция или запутывание кода — приведение исходного кода или исполняемого кода программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции.
