8月末までにPlayストアの25のアプリが分析され、悪意のある行動のヒントは見られなかった。その後、アプリはマルウェアの動作を疑わせるマルウェア構成ファイルをダウンロードします。
その後、モジュールはバンドルされたマルウェアコンポーネントによって有効になります。これらのモジュールは、影響を受けるモバイルデバイス上のアプリやディスプレイ広告のアイコンを非表示にし、その代わりにマルウェア開発者が収益を得ることを可能にします。
Googleは9月2日に25のアプリをすべて削除した。それらを削除する前に、悪意のある機能がレビューのために提出されたAPK(Androidパッケージキット)にコード化されていないことが会社によって確認されました。
脅威インテリジェンスチームは、ダウンロードされた設定ファイルを通じて、マルウェア開発者がGoogle Playのセキュリティテストに合格できるようにするスイッチをリモートで制御するという問題を特定しました。
シマンテックチームは、観察されたすべてのアプリがアプリの同様のコード構造とコンテンツを持っていることを知りました。どちらのアプリも同じ組織によって開発されたか、少なくとも同じソースコードを使用していると考えました。
マルウェア対策ソリューションの検出を避けるために、マルウェアのソース コード内のキーワードをエンコードおよび暗号化するために、脅威アクターが初期化ベクターと暗号化キーを使用しました。
まず、アプリのアイコンが非表示になり、アプリが閉じられても全画面表示の広告が表示され始めます。
影響を受けるデバイスの広告ウィンドウにはアプリのタイトルが表示されないため、ユーザーはどのアプリが背後にあるのかを特定できません。
開発者の 1 人は、アプリ ストアで 2 つの同一のアプリを公開するのに十分スマートでした。アプリの1つはきれいで、もう1つは悪意のあるコードでいっぱいでした。それは、ユーザーを混乱させ、悪意のあるアプリをモバイルデバイスに入れるためのものでした。
クリーンなアプリがブーストされ、Playストアのトップトレンドアプリカテゴリに表示されました。ユーザーが悪意のあるアプリを検索して誤ってインストールすると予想され、デバイスに広告をプッシュするマルウェアが発生します。