Компания Google удалила неназванное количество Android-приложений из официального магазина Google Play, которые были частью ботнета, осуществлявшего мошенничество с рекламой. Ботнет, получивший название TERRACOTTA, был обнаружен командой исследователей Satori из ИБ-фирмы White Ops, специализирующейся на выявлении ботов. По словам экспертов, они отслеживают TERRACOTTA с конца 2019 года, когда ботнет стал активным.
Операторы TERRACOTTA загружали в Google Play Store приложения, которые обещали пользователям бесплатные бонусы в обмен на установку программ на устройство. Программы обычно предлагали бесплатные ботинки, кроссовки, сапоги, а иногда и билеты на концерты, купоны и дорогие стоматологические процедуры. Пользователям предлагалось установить приложение, а затем подождать две недели, чтобы якобы получить бесплатные продукты.
На самом деле приложения загружали и запускали модифицированную версию мини-браузера WebView, скрытую от глаз пользователей, и загружали мошенническую рекламу, предоставляя злоумышленникам доход от ее показов.
Основной код приложения (то есть APK) написан с использованием кросс-платформенной среды разработки React Native и просто отображает форму, которую пользователь заполняет для получения якобы бесплатных товаров. Данная часть приложения не содержит вредоносных функций, однако они содержатся в разрешениях .WAKE_LOCK и .FOREGROUND_SERVICE.
Один из модулей модуль ботнета обрабатывает связь C&C-серверов, что достигается за счет использования возможности обмена сообщениями Firebase (широко используемой платформы мобильных приложений). Возможность рекламного мошенничества активируется с помощью push-сообщений от Firebase, которое содержит дополнительный модуль React Native, получивший название RNVlCore
Как отметили исследователи, только за последнюю неделю июня ботнет TERRACOTTA незаметно загрузил более 2 млрд рекламных объявлений на 65 тыс. зараженных смартфонов. Эксперты сообщили о своих находках Google, и компания удалила вредоносные приложения из Play Store. Тем не менее некоторые устройства все еще могут быть заражены.
Источник: securitylab.ru