Официальный магазин цифрового контента Google Play Store является наиболее востребованным источником приложений для пользователей устройств на базе Android. Поскольку Play Store ежемесячно посещают сотни миллионов пользователей, злоумышленники нацелены на эту аудиторию. Несмотря на то, что Google проверяет публикуемые в Play Store приложения, в магазине регулярно обнаруживается вредоносное ПО разной степени опасности.

Исследователи из компании Check Point, работающей в сфере информационной безопасности, обнаружили новое семейство вредоносных программ. Речь идёт о вредоносном ПО Tekya, которое имитирует пользовательскую активность, кликая по рекламным баннерам платформ Google AdMob, AppLovin, Facebook и Unity.

В общей сложности исследователи выявили 56 таких приложений, 24 из которых ориентированы на детей и представляют собой разного рода игры. Остальные заражённые приложения преподносятся, как переводчики, калькуляторы, сборники кулинарных рецептов и др. В общей сложности данные приложения были загружены пользователями Play Store более 1 млн раз.

Сообщается, что вредонос Tekya скрывает собственный код, чтобы избежать обнаружения системой Google Play Protect, а также использует механизм системы Android под названием MotionEvent для имитации пользовательской активности и генерации кликов. Ознакомиться со списком выявленных мошеннических программ можно на веб-сайте Check Point.

Исследователи отмечают, результат их работы доказывает, что в Play Store по-прежнему встречаются вредоносные приложения, несмотря на все усилия Google. В настоящее время в магазине опубликовано порядка 3 млн приложений и этот список ежедневно пополняется сотнями новых программ, что существенно осложняет поиск и выявление опасного и мошеннического ПО.

Антивирусная компания ESET предупреждает пользователей о росте активности троянской программы Nemucod, которая распространяет бэкдор Kovter, кликающий по рекламным ссылкам.

Nemucod использовался в 2016 году в нескольких крупных киберкампаниях. Как отмечается в отчёте, его доля достигала 24 % в общемировом объёме вредоносных программ, а уровень распространённости в отдельных странах превышал 50 %. Ранее злоумышленники использовали загрузчик для распространения шифраторы, таких как Locky и TeslaCrypt.

В новой кампании Nemucod используется преимущественно для загрузки бэкдора Kovter, предназначенного для накрутки кликов по рекламным объявлениям. Сам загрузчик распространяется посредством спам-рассылки: к письмам прикладывается ZIP-архив, где под видом счёта-фактуры скрывается исполняемый файл. Если жертва запустит заражённый фал, Nemucod загрузит на её компьютер Kovter.

Kovter, в свою очередь, предоставляет злоумышленникам удалённый доступ к системе жертвы. Бэкдора кликает по рекламным ссылкам при помощи встроенного браузера. Кликер поддерживает до 30 потоков, в каждом из которых посещает сайты и накручивает просмотры рекламы. Число потоков при этом может меняться по команде или автоматически — всё зависит от текущей производительности компьютера.

Дабы обезопасить себя от действий Nemucod и сопутствующих вредоносов, специалисты ESET разработали ряд рекомендаций. Так, если ваш почтовый клиент или сервер позволяет блокировать вложения по расширению, то лучше заблокировать все отправления с файлами .EXE, .BAT, .CMD, .SCR и .JS. Также не будет лишним убедиться в том, что операционная система отображает расширения файлов — это поможет распознать подделки, использующие двойное расширение (например, исполняемый файл PDF.EXE под видом безвредного INVOICE.PDF). Кроме того, если файлы с «подозрительным» расширением может прислать доверенный отправитель, стоит тщательно проверять адреса, а также сканировать письма и вложения соответствующими антивирусными средствами.