Очередное вредоносное приложение для Android

Появилась информация о новом популярном приложении для Android, которое обманывает своих пользователей. На этот раз, таким приложением стало SnapTube, которое позволяет пользователям выбирать видео на YouTube и Facebook для загрузки и воспроизведения в автономном режиме. Разработчики утверждают, что более 40 миллионов пользователей установили это приложение. Главная проблема заключается в том, что когда пользователи просматривают загруженное видео, программное обеспечение занято другими вещами в фоновом режиме. При этом обманывая, как пользователей, так и рекламодателей для получения материальной выгоды.

Разоблачение приложения SnapTube было совершено исследователями в Upstream. Они утверждают, что их платформа по безопасности D, обнаружила и заблокировала “более 70 миллионов подозрительных запросов на мобильные транзакции” от SnapTube. Всё это происходило в течение полугода. Такое мошенничество, как правило работает всплесками, и похоже команда исследователей начинает отслеживать приложения в нужное время.

Согласно Upstream, “SnapTube запускает невидимые объявления, генерируя клики и совершая покупки. Такие объявления скрыты от пользователей, из-за того, что они не появляются на экране”. Генерирование доходов от рекламного ПО или мошенничества с кликами — это одно, но отчет утверждает, что приложение SnapTube пошло дальше, к запуску премиальных звонков и текстов, а также подписке пользователей на платные услуги. В Upstream считают, что эта мошенническая деятельность “премиальных цифровых услуг” обошлась бы пользователям до 91 миллиона долларов.

Приложение SnapTube было разработано китайской компанией Mobiuspace, которая внедрила различные приложения в Google Play Store. Mobiuspace по-прежнему претендует на 40 миллионов активных пользователей, которые устанавливают приложение из сторонних Store.

Генеральный директор Upstream Гай Криф, рассказал про SnapTube : “экран в буквальном смысле используется для подозрительной активности, в фоновом режиме. В условиях тестирования мы обнаружили не только фоновую мошенническую рекламу с кликами, но и бесчисленное множество примеров, когда пользователи подписывались на премиальные цифровые услуги или подписки, даже когда телефон не использовался. Никаких уведомлений на экране не появляется, и отсюда следует, что пользователь имеет абсолютно нулевой контроль.”

В Upstream утверждают, что обнаружили деятельность SnapTube, когда команда заметила “чрезвычайно огромные объёмы подозрительных транзакций, происходящих в нескольких странах, но происходили они из-за одного и того же приложения для Android”. Команда перехватила “SMS-сообщения проверки подписки”, отправленные на устройства, которые были заражены вредоносной программой SnapTube. Приложение пыталось обманным способом подписать новых пользователей на подписки, без их ведома.

При появлении подозрений, команда изолировала зараженные устройства и отслеживала входящий и исходящий сетевой трафик. Анализ показал, что приложение SnapTube “связывалось с командным и управляющим сервером для идентификации служб подписки, а затем пыталось подписать новых пользователей на эти службы”.

SnapTube производит вредоносную деятельность с пакетом услуг Mango SDK, которые встроены в само приложение. Mango SDK и ранее выдвигались обвинения по распространению вредоносных программ, оснований для которых было видео-приложение Vidmate. В заявлении, опубликованном TechCrunch, представитель SnapTube заявил, что вредоносное ПО работало без ведома приложения SnapTube. “Мы не понимали, что Mango SDK осуществляет мошенничество с рекламой, что привело к серьезной потери репутации нашего бренда. Мы быстро отреагировали и прекратили все сотрудничества с ними. Версии на нашем официальном сайте, а также наши поддерживаемые каналы, распространяются уже свободными от этой проблемы”.

Были и другие случаи, которые связывали две компании, и когда Vidmate был разоблачён, большая часть активности SnapTube прекратилась. Но к сожалению только на время. Приложение SnapTube и ранее было замешано в таких видах деятельности. Команда Sophos раскрыла мошенническую деятельность, связанную с кликами и опубликовала информацию в феврале. “При запуске SnapTube, приложение генерировало более 200 сетевых соединений, менее чем за 120 секунд, без какого-либо взаимодействия с пользователем. Сетевой трафик показывает, что приложение загружает дополнительные рекламные плагины, отправляет информацию об устройстве и личную информацию на удаленные веб-сайты и генерирует скрытое перенаправление”.

Совет от Upstream заключается в том, чтобы пользователи “внимательно следили за телефонным счетами и сообщали своему оператору о любых подписках или сборах, которые они не подтверждали. Upstream настоятельно рекомендует пользователям удалять приложения со своих телефонов, если они видят признаки активности, указывающие на подозрительные приложения, собирающие данные в фоновом режиме”.