Category: [casino]JOYCASINO-raw

Исследователи из группы Satori Threat Intelligence компании HUMAN обнаружили 75 вредоносных приложений в Google Play и еще 10 в Apple App Store. В общей сложности эту рекламную малварь установили больше 13 миллионов раз.
Специалисты проинформировали Google и Apple о своих выводах, и все вредоносные приложения уже удалены из официальных магазинов для Android и iOS.
Эксперты присвоили этой вредоносной кампании называние Scylla. Они считают, что это уже третья волна хакерской операции, которая впервые была замечена в августе 2019 года и получила название Poseidon. Вторая волна носила имя Charybdis и достигла своего пика в конце 2020 года.
На этот раз были обнаружены следующие приложения.
Для iOS:
Loot the Castle – com. loot. rcastle. fight. battle (id1602634568);
Run Bridge – com. run. bridge. race (id1584737005);
Shinning Gun – com. shinning. gun. ios (id1588037078);
Racing Legend 3D – com. racing. legend. like (id1589579456);
Rope Runner – com. rope. runner. family (id1614987707);
Wood Sculptor – com. wood. sculptor. cutter (id1603211466);
Fire-Wall – com. fire. wall. poptit (id1540542924);
Ninja Critical Hit – wger. ninjacriticalhit. ios (id1514055403);
Tony Runs – com. TonyRuns. game.
Для Android (приложения, у которых более 1 млн загрузок):
Super Hero-Save the world! – com. asuper. man. playmilk;
Spot 10 Differences – com. different. ten. spotgames;
Find 5 Differences – com. find. five. subtle. differences. spot. new;
Dinosaur Legend – com. huluwagames. dinosaur. play;
One Line Drawing – com. one. line. drawing. stroke. yuxi;
Shoot Master – com. shooter. master. bullet. puzzle. huahong;
Talent Trap – NEW – com. talent. trap. stop. all.
Рекламный трафик в логах
Эксперты рассказывают, что приложения мошенников обычно использовали ID, который не соответствует их названию, чтобы рекламодателям казалось, что клики и показы объявлений исходят от более прибыльной категории ПО. Также исследователи заметили, что всего 29 приложений злоумышленников имитировали около 6000 CTV-приложений и регулярно меняли идентификаторы, чтобы избежать обнаружения.
Приложение получает инструкции по смене ID
Работает такая adware весьма просто: в Android реклама загружается в скрытых окнах WebView, поэтому жертва даже не замечает ничего подозрительного, так как все происходит в фоновом режиме. Кроме того, вредоносы злоупотребляют системой JobScheduler для запуска рекламы, когда жертвы не используют свои устройства (например, когда экран выключен).
Отмечается, что по сравнению с первой кампанией Poseidon, приложения Scylla изменились: теперь они полагаются на дополнительные уровни обфускации с использованием обфускатора Allatori Java. Это затрудняет их обнаружение и реверс инжиниринг.