Os pesquisadores da Trend Micro detectaram 15 aplicativos de papel de parede na Google Play Store que cometem fraudes em anúncios de cliques. Esses aplicativos foram baixados coletivamente da Play Store mais de 222.200 vezes. Até o momento, a telemetria da Trend mostrou a Itália, Taiwan, Estados Unidos, Alemanha e Indonésia como os países com maioria das infecções registradas. O Google confirmou a remoção de todos os aplicativos identificados.
De acordo com os pesquisadores da Trend Micro, os cibercriminosos tem investido cada vez mais em golpes a partir de apps mais simples – assim como esse de papel de parede ou até aplicativos de jogos – que demandam menos esforço dos hackers, entretanto trazem grandes resultados. Além disso, os hackers têm utilizado diferentes formas de ataque nos apps e o número de programas maliciosos publicados e de downloads feitos pelos usuários têm se mostrado grande.
Comportamento
Os aplicativos foram projetados com ícones atraentes que prometem belos papéis de parede para dispositivos móveis. Os próprios aplicativos também têm altas avaliações de usuários e bons comentários, mas, segundo os pesquisadores da Trend Micro, essas avaliações provavelmente são falsas.
Como ocorre a fraude
Depois de baixados, os aplicativos decodificam o endereço do servidor de comando e controle (C & C) para a configuração. Todo o processo é silenciado para ocultar a atividade do usuário. Uma solicitação HTTP GET é comunicada ao C&C para uma lista em formato JSON assim que o aplicativo é iniciado.
Quando o feed é executado, cada feed e objeto inicializados incluem um fallback_URL , tipo , UA , URL , referenciador , x_requested_with e palavras-chave.
Em seguida, os aplicativos recebem o código de publicidade do Google Play Services e substituem alguns parâmetros no URL, ANDROID_ID pelo código de publicidade, substituem BUNDLE_ID pelo nome do pacote do aplicativo fraudulento, substituem o IP pelo IP atual do dispositivo infectado e muito mais. Após a substituição, a URL é carregado de acordo com o tipo.
Inteligência artificial otimiza biometria e ajuda no combate a fraudes
Ao carregar a URL, o plano de fundo do navegador será definido como transparente. Depois que a URL é carregada, os aplicativos começam a simular cliques na página do anúncio.
Os cibercriminosos lucram com a substituição de valor dos parâmetros. Os IDs fornecidos pelo Google para desenvolvedores do Android, como o código de publicidade, o ID do anunciante e o ID do dispositivo, são identificadores anônimos específicos para os usuários gerarem renda com seus aplicativos.