Сотрудники Oracle обнаружили новую мошенническую схему по накрутке просмотров рекламы, названную DrainerBot. Преступники распространяют вредоносный код, который загружает и проигрывает на Android-устройствах невидимые видеоролики. Согласно отчету Oracle, жертвами кампании могли стать миллионы пользователей.
Виновником происходящего эксперты считают голландскую компанию Tapcore, якобы предлагающую услуги по монетизации незаконных установок Android-приложений. Как утверждают представители сервиса, их SDK позволяет разработчикам программ использовать пиратские копии для показа рекламы пользователям. Однако, по данным Oracle, вредоносный код срабатывает, даже если приложение загрузили из официального источника. При этом видеоролики проигрываются в фоновом режиме, так что пользователь в действительности их не видит.
После «демонстрации» рекламы приложение с «антипиратским» кодом сообщает рекламной сети, что ролик загрузился на реальном сайте. В ответ рекламная сеть перечисляет мошенникам деньги. Страдают и пользователи: объем загрузок таких материалов может составлять более 10 ГБ в месяц, и этот трафик приходится оплачивать владельцам зараженных устройств.
На сайте платформы указано, что Tapcore SDK используют более чем три тысячи приложений. Эксперты отмечают, что в их число входят Draw Clash of Clans, Perfect365 и VertexClub. Судя по общему количеству загрузок зараженного ПО из Google Play, зловред может работать более чем на 10 млн устройств.
Эрик Роза (Eric Roza), вице-президент и генеральный директор Oracle, высказался о проблеме следующим образом: «DrainerBot — один из первых случаев крупного рекламного мошенничества, от которого напрямую пострадали пользователи. Установка зараженных приложений может обернуться для них затратами в сотни долларов из-за перерасхода трафика, а также снижением заряда и производительности устройств».
Роза также отметил, что кампания уникальна с точки зрения количества затронутых ею групп лиц. «У этого преступления сразу три пострадавших стороны. Никогда не видел ничего подобного», — поделился он в интервью. По его мнению, помимо пользователей и маркетологов, оплачивающих просмотры рекламы, под ударом оказалась репутация разработчиков, которые, вероятно, даже не подозревали о мошенничестве, когда встраивали SDK в свои приложения.
Сотрудники Tapcore причастность компании к преступной схеме отрицают. Они сообщили о начале полномасштабной внутренней проверки и отметили, что чрезвычайно удивлены выводами исследователей из Oracle. Пользователям SDK компания пообещала предоставить обновления, как только они появятся.
Специалисты Google, в свою очередь, уже приняли меры для защиты рекламодателей. Все известные Oracle зараженные приложения внесены в черный список. Большинство из них были удалены из Google Play ранее либо никогда в нем не появлялись.
Android-разработчикам эксперты рекомендуют проверить программы на наличие потенциально вредоносного SDK и в случае обнаружения такового принять соответствующие меры. В свою очередь, пользователи могут обнаружить на устройстве DrainerBot, проанализировав статистику использования интернет-трафика. Если какое-то из приложений скачивает или отправляет данные в невероятных масштабах, от него в любом случае стоит сразу избавиться.
Отметим, что об эволюции рекламных троянов эксперты «Лаборатории Касперского» сообщили еще в марте прошлого года. По словам аналитиков, особенностью зловредов новых поколений стала работа, незаметная для владельцев устройств. За последние месяцы модераторы Google Play удалили из магазина по меньшей мере 22 рекламных кликера, показывающих невидимые баннеры.