ビジネスモデルとしての偽の約束
Google Playのこれらの広告アプリケーションの広大なカテゴリでは、ソーシャルエンジニアリングの手法を使用して、ユーザーに高い評価を求めました。これにより、その後のダウンロード数が増加しました。
原則として、存在しない機能はアプリケーションの説明にリストされていました。 インストール後、デバイスの画面にポップアップメッセージが表示され、インストールを続行するか、Google Playで高い評価を得るためにフルバージョンのロックを解除することを約束しました。 その結果、アプリケーションの評価は信じられないほど高く、失望したユーザーのレビューによってのみ発行されました。
古典的な例は、偽のゲームSubway Sonic Surf Jumpで、5 *の評価を要求し、機能への完全なアクセスを開くことを約束し、実際に次々とバナー広告を表示しました。 アプリケーションは50万人以上のユーザーによってインストールされ、平均評価は4.1ポイントで、高い評価には怒りのコメントが含まれていました。
その他の人気(評価)アプリケーション-アニメ壁紙HDと最新のオンライン映画-はほぼ同じように機能しました。 5 *の欠落している機能を「販売」し、レビューを読まなかったユーザーを引き付けました。
高い評価を得るもう1つの方法は、迷惑な広告を使用することです。 一部のアプリはポップアップ広告を表示し、5ポイントの評価と引き換えにそれらを削除することを約束しました。
これらが空の約束であることは明らかですが、著者には評価を改善する他の方法はありません。 Google Playデベロッパーポリシーで提供されているマークアップを直接禁止しても、それらは停止しません。
Android / Hiddad.BZ:広告を出すトロイの木馬、評価を上げる
評価を上げるアプリケーションの中で、モバイル/トロイの木馬はAndroid / Hiddad.BZ広告を表示することで際立っています。
このプログラムは、Tube.MateやSnaptubeなどの名前を持つ7つのアプリケーション-YouTubeからコンテンツをダウンロードするためのツールとして偽装しました。 それらは、最大5000ユーザーによってインストールされました。
悪意のあるソフトウェアは多くの方法を使用して、ユーザーに広告を表示する追加コンポーネントをインストールするよう説得すると同時に、Google Playでアプリケーションに高い評価を与えます。
インストール後、7つのアプリケーションすべてがデバイスにMusic Maniaとして表示されました。 対応するアイコンをクリックすることにより、ユーザーは広告を表示するためのコンポーネントのダウンロードを開始しました。 これを行うために、プログラムは「Android用プラグイン」のインストールを促すメッセージを表示し、「インストール」をクリックするまで画面をロックしました。 次に、プログラムは同じ方法でデバイスの管理者権限を要求しました-画面に別のメッセージを表示します。
管理者権限を受け取ったプログラムは、ユーザーにバナー広告を表示し、迷惑なコンテンツを取り除くためにアプリケーションを5 *で評価することを提案しました。 メッセージを削除しても意味がありません。広告バナーがさらに増えるため、将来、オファーが再び表示されたときにユーザーにプログラムの評価を強制します。
Android / Hiddad.BZからデバイスをクリアするには、デバイスの管理者権限を無効にし、追加のプラグインを手動で削除してから、アプリケーションマネージャーを介してアプリケーション自体(Music Mania)を削除する必要があります。 モバイルアンチウイルスがインストールされている場合、この脅威も検出して削除します。
Android / TrojanDownloader.Agent.JL:広告モジュールを備えたトロイの木馬ダウンローダー
ESETの専門家によって検出されたGoogle Playのマルウェアの次のカテゴリは、感染したデバイスに広告を表示するダウンローダーです。 このコンテンツは、MinecraftのMODを装った14のアプリケーションで明らかになりました。 悪意のあるソフトウェアは合計で最大8万回ダウンロードされています。
Android / Hiddad.BZと同様に、トロイの木馬は追加のコンポーネントを使用して広告を表示します。 広告モジュールは元のアプリケーションの一部ではありません-ネットワークからダウンロードし、起動後にユーザーが手動でインストールする必要があります。
アプリケーションには実際の機能はなく、迷惑な広告が表示されます。 結果として、低い評価と否定的なレビューを提供します。
起動後、アプリケーションはデバイスの管理者権限を要求します。 管理者モードがアクティブになると、「MODのインストール」ボタンが付いたメッセージが画面に表示されます。 同時に、プッシュ通知は、インストールを続行するには追加のBlock Launcher Proモジュールが必要であることをユーザーに通知します。
モジュールのインストール中に、ユーザーは一連のアクセス許可(管理者権限を含む)を与えるよう招待されます。 このプロセスでインストールされる追加コンポーネントは、ESET NOD32製品によってAndroid / Hiddad.DAとして検出されます。 このようなアプリケーションとアドオンモジュールの唯一の機能は、広告を表示することです。
興味深いことに、このダウンローダートロイの木馬はアプリケーションの改良版であり、2月にGoogle Playで初めて登場しました。 そのバージョンでは、同様のインターフェイスが使用され、管理者権限も要求されましたが、ダウンロードする機能がありませんでした。また、現在のインターフェイスとは異なり、Minecraftのmodが実際に含まれていました。
ブートローダーの更新バージョンは、理論的には、被害者のデバイスにソフトウェアをダウンロードできます。 トロイの木馬の作者が広告の表示に制限されると信じる理由はありません。 Google Play開発者サービスのセキュリティシステムをバイパスしてユーザーを欺くスキームを作成した後、遅かれ早かれ、彼らは次のステップ、より危険なマルウェアの拡散に取りかかります。
MinecraftのMODをダウンロードするときに悪意のあるアプリケーションの1つを見つけてインストールする可能性は非常に大きくなります。 ブートローダーを削除するには、アプリケーションとブートローダーモジュールの管理者権限を以前に無効にした後、信頼性の高いモバイルウイルス対策ソフトウェアを使用するか、アプリケーションマネージャーで手動で脅威を除去します。
Android / FakeApp.FG:詐欺サイトにリダイレクトするためのアプリ
別の73の偽のMinecraft MODは、古典的なスキームを使用して、ユーザーを詐欺サイトにリダイレクトします。 これらのアプリケーションはAndroid / FakeApp.FGとして検出され、最大91万回インストールされています。
アプリケーションを起動すると、[ダウンロード]ボタンが付いたメッセージが表示されます。 ボタンを押してもmodはロードされませんが、代わりにユーザーをデフォルトのブラウザーで開くサイトにリダイレクトします。 広告、投票、集会、クーポン、偽のソフトウェアアップデート、ウイルスメッセージなど、あらゆる種類の侵入コンテンツがサイトに表示されます。 メッセージはローカライズされます-ユーザーのIPアドレスに応じて。
Android / FakeApp.FGは、アプリケーションマネージャーで手動で削除するか、モバイルウイルス対策ソフトウェアを使用できます。
予防
Google Playで評価を上げるマルウェアを見つけたとしても、主なアドバイスはgiveめません。ダウンロードする前にアプリケーションを確認してください。 平均評価に加えて、ユーザーレビューを確認することが重要です。 上記のエピソードが証明したように、ユーザーは、(特に)すでに過大評価を行うと確信している場合でも、正直なレビューを書きます。
サンプル
Android / Hiddad.BZ:
Android / FakeApp.FG:
マルウェアのレビューについて、ウイルスの専門家であるLukash Stefankoに感謝します。
念のため、 ESET NOD32モバイルアンチウイルスはそのような脅威から保護することを思い出します。