Как пишет Android Police, приложения уже были удалены Google с Play Store, но к тому моменту их загрузили миллионы пользователей.
После установки, некоторые из приложений загружают рекламу мошеннического или порнографического содержания на весь экран каждый раз, когда устройство разблокировано, а некоторые из приложений перенаправляют пользователей на фишинговые веб-сайты, чтобы украсть личную информацию.
Приложения выглядят относительно надежно при первоначальной загрузке. Trend Micro подробно описывает, как один из идентифицированных приложений, com.beauty.camera.project.cloud, создает ярлык после запуска и скрывает его значок в списке приложений, что затрудняет его удаление.
Кроме того, когда пользователь загружает изображения для применения фильтра, программа загружает изображения на частный сервер и возвращает сообщение об ошибке с просьбой обновить приложение.
Даже всплывающие окна для загрузки платных плееров были мошенническими, ведь щелчок по ссылке для загрузки онлайн-видеоплеера ничего не воспроизводил.
Приложения уклонялись от защиты Play Protect, поскольку они использовали пакеты для предотвращения их анализа, а URL-адрес удаленного сервера дважды превращали в BASE64. Рекомендация охранной фирмы состоит в том, чтобы оценивать отзывы пользователей, что, я уверен, большинство наших читателей в любом случае делают.
Компания обнаружила, что вредоносные программы имеют постоянную U-образную схему отзывов, при этом большинство оценок оценивается как 5-звездные или 1-звездочные. Такой эффект возникает из-за того, что настоящие пользователи ставят объективно низкие оценки, когда боты и "куплены" комментаторы пытаются ее поднять. Вы можете увидеть полный список вредоносных приложений ниже: