Аналитики компании «Доктор Веб» сообщают об обнаружении вредоносного троянца-кликера в приложении, управляющем игрушками для взрослых.
Антивирусный компонент Dr.Web Security Space для Android Origins Tracing (определяет угрозы на основе поведенческого анализа) обнаружил в этом приложении троянца-кликера Android.Click.414.origin. Он маскируется под компонент, собирающий отладочную информацию — библиотеку com.android.logcatch.
Этот тип вредоносного ПО может незаметно открывать рекламные веб-сайты и переходить по страницам в Интернете. Он используется для сокрытия медийной рекламы, увеличения кликов по ссылкам, публикации платных подписок или DDoS-атак. По данным компании «Доктор Веб», троянец способен передавать данные об устройстве (марка, модель, версия операционной системы, IP-адрес, выбранный в настройках регион, код оператора мобильной связи и т. д.) на свой управляющий сервер.
Используя встроенный компонент Android WebView, он может открывать веб-сайты, просматривать страницы в Интернете, заполнять формы данных и отключать звук на страницах, содержащих аудио или видео, незаметно для пользователя. Также он умеет делать скриншот отображаемого сайта, передавать его на сервер и после анализа пикселей определять место клика. Кроме того, через поисковые системы Bing, Yahoo и Google он может искать рекламные ссылки по ключевым словам.
Приложение загружается из официального магазина Google Play. «Доктор Веб» отмечает, что троянец появился недавно в нескольких последних версиях (начиная с версии 1.8.1) и что разработчик Love Spouse обновил приложение. В версии 1.8.8 этого трояна больше нет.
Вредоносное ПО также было обнаружено в приложении для отслеживания фитнеса QRunning. «Доктор Веб» отмечает, что его разработчики до сих пор не выпустили корректирующее обновление.