В апреле исследователи из компании Checkpoint расследовали деятельность очередного отряда вредоносного ПО: множество приложений пробрались в магазин Google Play и попали на аппараты ничего не подозревающих пользователей устройств на Android. Некоторые из них оказались популярными и были скачаны много раз, прежде чем пользователи заметили подозрительное поведение и отреагировали в комментариях и оценках.
Приложения Viking Jump, WiFi Plus, Parrot Copter, Memory Booster и Simple 2048 содержат вредоносные компоненты, которые начинают вести свою деятельность после запуска. Два компонента с названиями как у системных файлов Android устанавливаются на устройства, один обменивается данными с вредоносными частями программ, другой хранит список компонентов. Программа проверяет наличие рут-доступа и если устройство рутировано, устанавливает ещё два компонента. В любом случае устанавливается связь с командным сервером, отсылаются данные об уровне заряда, типе связи и номер телефона.
Сервер открывает прокси-соединение для обмена информацией с устройством. В этой кампании устройства имитируют клики на рекламу для получения прибыли. Некоторые программы отправляли дорогостоящие СМС, также возможны DDoS-атаки, рассылка спама и дистанционное выполнение кода.
Checkpoint Security приписывает 44% случаев инфицирования пользователям в России, где доминирует версия Android 4.4. Более поздние Lollipop и Marshmallow обладают более строгими ограничениями доступа. Checkpoint уведомила Google о своей находке в начале мая.