Вредоносное ПО AdDown удалено из 75 приложений в Google Play Store

Разработчики 75 приложений, представленных в интернет-каталоге Google Play Store, удалили из своих программ код вредоносного рекламного ПО AdDown, которое помимо отображения рекламы собирало персональные данные пользователей и в некоторых случаях скрыто устанавливало дополнительные приложения.

Вредоносное ПО AdDown было обнаружено специалистами Trend Micro в январе 2015 года. За прошедшие два года эксперты выявили вредоносное ПО в более 800 приложений, загруженных в Google Play. Как правило, это были небольшие утилиты, такие как фоторедакторы или приложения-фонарики.

Первая версия программы Joymobile обладала простым, но весьма интрузивным функционалом и была способна собирать информацию о пользователях и устанавливать дополнительные приложения. Во втором варианте Nativemob появились функции шифрования команд, обфускации кода, а также фильтрации пользователей для более эффективного показа рекламы.

Третья версия, Xavier, была замечена в сентябре минувшего года. Разработчики улучшили функционал вредоносного ПО, добавив возможность обнаруживать и избегать песочницы (специально выделенная среда для безопасного исполнения компьютерных программ). Кроме того, была удалена функция загрузки сторонних приложений.

По оценкам исследователей, за минувшие два года миллионы пользователей (в основном из стран Юго-Восточной Азии, реже из США и стран Европы) загрузили и установили приложения, инфицированные одним из трех вариантов AdDown. Вредоносное ПО распространялось под видом комплекта средств разработки, что поясняет его присутствие в столь большом количестве приложений.

Полный список приложений. из которых уже был дален вредонос AdDown опубликован здесь.