Google Play захватили приложения с вирусной рекламой
В последнее время участились новости о заражении Android-устройств и вирусах в Google Play. Неделю назад стало известно о новом опасном типе вирусов, способном внедрять вредоносный код в системные библиотеки. А на днях выяснилось, что сотни бесплатных приложений в Google Play заражены вирусом Xavier, который крадет личные данные пользователей. На этом беды фанатов «зеленого робота» на заканчиваются. Компания Sophos, специализирующаяся на безопасности, обнаружила, что в магазине приложений для Android есть огромное количество программ, использующих стороннюю библиотеку Mars Dae-A для отображения рекламы на устройствах пользователей.
Нелегальное ПО было обнаружено как минимум в 47 приложениях. Все они были загружены не менее 6 миллионов раз, что свидетельствует о масштабности проблемы. Использование сторонней библиотеки позволяет таким программам отображать рекламу прямо на домашнем экране устройства. При этом закрытие и остановка приложения не помогает. Более того, даже если отключить приложение, вредоносный код будет продолжать отображать рекламу. Объявления возвращаются на главный экран спустя несколько секунд после закрытия зараженного приложения.
Специалисты Sophos сумели отследить, как работает Mars Dae-A на устройствах с Android 5.0 Lollipop и Android 6.0 Marshmallow. Код запускает несколько процессов, каждый из которых создает и блокирует определенный файл. Затем процессы отслеживают друг друга, чтобы обеспечить создание и блокировку необходимых файлов. Как только область данных, созданная определенным процессом, будет разблокирована, она инициирует серию инструкций, которые перезапускают процесс и воссоздают разблокированный файл.
Известно, что на устройствах с Android 7.0 Nougat данный тип вируса не работает. Компания Google пока не прокомментировала, как такие приложения попали в Google Play.