75 приложений в Google Play и 10 в App Store были задействованы в мошеннической схеме, появившейся еще в 2019 году.
Очередная волна таких приложений, ставшая уже третьей, получила имя Scylla («Сцилла»). Она последовала за аналогичными волнами в августе 2019 и в конце 2020 годов. Они назывались «Посейдон» и «Харибда».
Пользователи установили эти приложения более 13 миллионов раз, прежде чем их изъяли с площадок. «Посейдон» включала в себя более 40 приложений для Android. Они показывали нецелевую и скрытую рекламу.
«Харибда» стала улучшенной версией своего предшественника. В ней использовались методы обфускации1 кода приложений для обмана рекламных платформ.
Cо «Сциллой» преступники пошли дальше. Теперь под угрозой и OC iOS. Злоумышленники используют дополнительные уровни обфускации с помощью Allatori Java. Эти приложения после установки производят такие мошеннические действия с рекламой, на которые были не способны предыдущие версии вредоносного ПО.
Приложения этой волны выглядят как свои «родители» (например, популярные стриминговые сервисы). Они производят манипуляции с рекламным SDK. В них показывается нецелевая и скрытая реклама через Webviews и производятся скликивания рекламы на монетизируемых мошенниками ресурсах.
По словам специалистов, злоумышленники кодируют свои приложения так, чтобы они были похожи на «родителя». Цель — привлечь и обмануть рекламодателей, само приложение их мало интересует.
Пользователям рекомендуется тщательно изучать приложения перед их загрузкой и избегать сторонних площадок, на которых могут присутствовать вредоносные приложения.
1 — Обфуска́ция или запутывание кода — приведение исходного кода или исполняемого кода программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции.
