Специалисты компании Wandera обнаружили в App Store 17 приложений с вредоносным кодом. В основном это различные утилиты, добавляющие устройству различные полезные возможности:

• RTO Vehicle Information
• EMI Calculator & Loan Planner
• File Manager — Documents
• Smart GPS Speedometer
• CrickOne — Live Cricket Scores
• Daily Fitness — Yoga Poses
• FM Radio — Internet Radio
• My Train Info — IRCTC & PNR
• Around Me Place Finder
• Easy Contacts Backup Manager
• Ramadan Times 2019
• Restaurant Finder — Find Food
• BMI Calculator — BMR Calc
• Dual Accounts
• Video Editor — Mute Video
• Islamic World — Qibla
• Smart Video Compressor

Выяснилось, что все эти приложения были созданы индийской компанией AppAspect Technologies Pvt. Ltd. Помимо полезных функций в них были скрыты вредные, позволявшие приложениям скрытно заниматься рекламным мошенничеством: в фоновом режиме без ведома пользователя они открывали и закрывали окна с рекламой, генерируя своим создателям нелегальный доход. Работа таких приложений приводит к чрезмерному расходованию трафика, а также нагрузке на процессор и снижению времени автономной работы устройства.

От имени AppAspect Technologies в App Store было размещено в общей сложности 51 приложение, 35 из которых бесплатные. Все заражённые приложения обращались к одному управляющему серверу через зашифрованное соединение и получали от него рекламный контент и команды для скликивания баннеров. Чтобы обойти систему защиты App Store, вредоносный код помещался на внешний источник, трафик от которого надёжно шифровался.

Компания Apple удалила 15 из 17 вредоносных приложений AppAspect Technologies, по какой-то причине оставив два из них: My Train Info — IRCTC & PNR и Easy Contacts Backup Manager.

Примечательно, что AppAspect Technologies также размещает свои приложения в Play Маркете. К некоторым из них были претензии со стороны Google, разработчику пришлось удалить их и заменить новыми, без вредоносного кода. Впрочем, есть подозрение, что такой код в них всё же есть, просто надёжно скрывается.

По аналогичной схеме работали приложения Sun Pro Beauty Camera и Funny Sweet Beauty, которые были выявлены в Play Маркете в сентябре 2019 года компанией Wandera. В общей сложности они были установлены 1,5 млн раз. Они якобы предназначены для создания фотографий с применением различных эффектов, но на самом деле содержат функции, о которых умолчали разработчики. Эти приложения показывали полноэкранную рекламу, которую невозможно закрыть без перехода на сайт рекламодателя. После установки приложения скрывают свои значки из общего списка, поэтому их становится затруднительно найти и удалить. В то же время они продолжают работать в фоновом режиме, то и дело показывая рекламу поверх других приложений.

Play Маркет традиционно содержит больше вредоносных приложений, чем App Store, что в очередной раз доказала компания ESET. Она нашла в этом магазине 42 приложения со скрытым рекламным кликером Ashas, установленные более 8 миллионов раз. Все эти приложения были созданы студентом из Вьетнама, который действовал предельно хитро. Сначала он размещал действительно полезные утилиты, а когда они становились популярны и получали хорошие оценки, добавлял в них вредоносные модули. Таким образом он вводил пользователей в заблуждение и превращал легальный бизнес в деятельность, которая приносит незаконный заработок.