A McAfee kutatói szerint a káros alkalmazások közül a legnépszerűbb – közel 5 milliós telepítéssel – a DxClean rendszertisztító és optimalizáló program, amely az 5 csillagból 4,1-es értékelést kapott az áruházban. Az érintett alkalmazások teljes listája a McAfee jelentésében található.
A rosszindulatú appok a telepítésük és elindításuk után egy távoli HTTP oldalról letöltik a konfigurációjukat és regisztrálnak egy FCM (Firebase Cloud Messaging) figyelőt a push üzenetek fogadásához. Ezek az üzenetek utasításokat tartalmaznak az ún. clicker app számára arra vonatkozóan, hogy melyik függvényt és azt milyen paraméterekkel kell meghívniuk. Mindez annyit jelent, hogy az FCM üzenetekkel küldött weboldalak egymás utáni felkeresése a háttérben történik, a felhasználók kattintásának imitálásával. Az automatikus kattintás funkcióért a „click.cas” komponens felel, míg az adware szolgáltatásokat a „com.liveposting” kezeli. Míg utóbbi önmagában is működhet azáltal, hogy csak hirdetéseket jelenít meg, a McAfee szerint az alkalmazások legjabb verziói mindkét könyvtárat tartalmazzák.
Az áldozat soha nem lép interakcióba a megnyitott weboldalakkal, sőt valószínűleg fel sem tűnik neki a háttérben zajló folyamat. A rejtőzködés érdekében csupán az alkalmazás telepítését követően egy órával kezdi meg rosszindulatú működését a káros program, mikor a felhasználó aktívan használja eszközét.
Hogy ellenőrizhessük van-e ilyen rosszindulatú alkalmazás a készülékünkön, vizsgáljuk meg az eszköz akkumulátor-és internethasználatát! Gyanúra adhatnak okot a kiugró értékek ─ különösen, ha az eszköz használaton kívül van.
(NKI)
