Мобильные рекламные сети: один шаг до ботнетов

Компания Palo Alto Networks сообщила о новой угрозе для пользователей мобильных устройств на платформе Android. Угроза связана с механизмами распространения мобильной рекламы.

В отличие от интернет-рекламы, отображаемой в браузерах, мобильная реклама распространяется через приложения. Возможность подключения к рекламным сетям заложена в большинстве приложений изначально, на программном уровне. Это позволяет разработчикам отслеживать распространение рекламы и получать причитающиеся им проценты. Этот же механизм, однако, таит в себе серьезную угрозу: доступ к приложению получают сторонние компании. И в случае, если рекламная сеть начинает вместо безобидных объявлений распространять вредоносное ПО, у пользователя просто нет шансов защититься.

Первый случай подобных атак был отмечен в апреле нынешнего года. Тогда компания Lookout выявила сразу 32 потенциально опасных приложения в Google Play. Приложения, о которых идет речь, не содержали вредоносного кода, но обращались к командному серверу под контролем киберпреступников и под видом рекламы загружали вредоносное ПО. Атака получила название BadNews, а большинство задействованных в ней приложений были адресованы русскоязычным пользователям.

Описанная специалистами Palo Alto Networks атака организована по тому же принципу. Вполне безопасные приложения обращаются к мошеннической сети, которая маскируется под рекламную, и загружают вредоносное ПО, которое не распознается мобильными антивирусами. Интересная особенность состоит в том, что загруженное ПО не устанавливается сразу, а пребывает в «режиме ожидания» — до тех пор, пока пользователь не установит любое другое приложение. В этот момент вредоносное ПО также подает запрос об установке, выдавая себя за часть нового приложения. «Этому подходу нельзя отказать в известной элегантности, — отмечает старший аналитик Palo Alto Networks по вопросам безопасности Уэйд Вильямсон. — Не совершая никаких «опасных» действий, пользователь своими руками устанавливает вредоносное ПО на собственное устройство».
После установки вредоносное ПО преподносит целый букет неприятных сюрпризов. Например, оно способно перехватывать получаемые текстовые сообщения, а также отправлять сообщения самостоятельно, подписываясь от имени пользователя на различные дорогостоящие услуги.

«Создав вредоносную рекламную сеть, хакеры фактически получают в свои руки готовый ботнет, объединяющий пользователей всех приложений, подключенных к этой сети», — говорит Уильямсон.