В «Лаборатории Касперского» поделились своими недавними «находками» в официальном онлайн-магазине приложений Google Play для операционной системы Android. Как рассказали эксперты, в Google Play обнаружились «сотни» заражённых приложений и только в 2023 году их скачали более 600 миллионов раз.
Одним из самых «показательных» случаев стало заражённое приложение iRecorder для записи изображения экрана смартфона. Изначально оно было загружено в Google Play в сентябре 2021 года, а в августе 2022 года разработчики приложения добавили в него вредоносную функциональность. Добавленный код из трояна удалённого доступа AhMyth привёл к тому, что смартфоны всех установивших приложение пользователей начали каждые 15 минут записывать звук с микрофона и отправлять его на сервер разработчиков. К моменту обнаружения зловреда исследователями в мае 2023 года у приложения iRecorder было уже более 50 000 загрузок в Google Play.
Также было обнаружено несколько приложений, заражённых трояном-подписчиком Fleckpe. На момент обнаружения их скачали более чем 620 000 раз. Приложения размещались от имени разных разработчиков. При запуске приложения на смартфон загружалась основная «вредоносная нагрузка», после чего троян связывался с командным сервером и передавал на него информацию о стране и сотовом операторе, в ответ сервер выдавал инструкции для дальнейших действий. Fleckpe в невидимом для пользователя браузере открывал веб-страницы с платными подписками и, перехватывая коды подтверждения из входящих уведомлений, подписывал пользователя на ненужные ему услуги, оплачиваемые с его мобильного счёта.
Ещё один характерный пример — два файловых менеджера под названиями File Recovery and Data Recovery, а также File Manager. Один с 1 000 000 загрузок , а второй — с 500 000. Оба передавали на серверы в Китае информацию о пользователе: контакты, геолокацию в реальном времени, данные о модели смартфона и сотовой сети, фотографии, аудио- и видеофайлы и так далее. Они скрывали свои значки с рабочего стола.
Также эксперты нашли 43 приложения, включая TV/DMB Player, Music Downloader, News и Calendar, которые втайне от пользователя прокручивали рекламу в то время, когда смартфон оставался заблокированным. Суммарное количество загрузок этих приложений составило 2,5 миллиона. На 35 млн загрузок «потянули» 38 клонов Minecraft, также занимавшиеся «показом» скрытой рекламы втайне от пользователя.
Сразу 100 млн загрузок пришлось на приложения со зловредом Goldoson, который также «показывал» скрытую рекламу, открывая веб-страницы внутри приложения в фоновом режиме. И дополнительно собирал данные, включая информацию об установленных приложениях, геолокацию, адреса устройств, подключённых к смартфону по Wi-Fi и Bluetooth и так далее.
Самым масштабным случаем 2023 года стала находка 101 заражённого приложения с суммарным числом загрузок 421 000 000 со зловредом SpinOk. Другая группа специалистов по кибербезопасности позже нашла ещё 92 приложения с SpinOk, с общим числом загрузок в 30 млн. Эти приложения навязчиво показывали мини-игры с денежными наградами, а в фоне собирали и отправляли на сервер злоумышленников пользовательские данные и файлы.