Эксперты из компании Zscaler обнаружили вредоносную рекламную кампанию по распространению Android-приложения, предназначенного для загрузки дополнительного программного обеспечения. Вредоносная программа распространяется посредством рекламных баннеров на форуме GodLike Productions.
Форум godlikeproductions.com, посвященный теориям заговора, был создан в 2000 году. Ежедневно данный веб-ресурс посещают от 40000 до 60000 пользователей.
Вредоносный рекламный баннер, размещенный на сайте, автоматически инициирует загрузку приложения Ks Clean, которое позиционируется как утилита для очистки дискового пространства, на Android-устройства посетителей веб-ресурса. После инсталляции этого приложения на экране отображается всплывающее окно, замаскированное под уведомление с предложением установить обновление безопасности. Так как в сообщении нет кнопки для отмены, пользователь может лишь нажать «Ок», чтобы закрыть уведомление. Затем приложение сразу же осуществляет загрузку и инсталляцию еще одной программы под названием «Обновление». В ходе установки приложение отправляет пользователю запрос на получение прав администратора и после их получения начинает демонстрировать на дисплее устройства рекламные объявления.
В случае обнаружения источника рекламы пользователь все равно не сможет удалить приложение. При каждой попытке отзыва прав администрирования программа на несколько секунд блокирует экран.
Как утверждают эксперты Zscaler, в течение последних двух недель приложение было загружено свыше 300 раз. К нему проявили интерес, прежде всего, американские, британские и французские пользователи. Администрация форума godlikeproductions.com игнорирует и удаляет жалобы пользователей на принудительную загрузку вредоносной программы на устройства посетителей сайта.
Эксперты советуют отключить в мобильных браузерах автозагрузку и функционал, который разрешает загрузку из неизвестных источников.
