Сложную кибермошенническую операцию выявили и пресекли специалисты исследовательской группы Satori Threat Intelligence компании Human Security, сообщается 23 сентября в пресс-релизе на сайте компании. В операции мошенников были задействованы мобильные приложения из популярных магазинов. В Apple App Store нашлось 9 приложений, в Google Play Store — 80. В совокупности все эти приложения были скачаны более 13 млн раз.

Суть мошеннической операции, получившей название «Сцилла», состоит в том, что мобильные приложения выдают себя за обычные сервисы и демонстрируют как явную, так и скрытую рекламу пользователям мобильных устройств. На первый взгляд вполне безопасные рекламные модули могут стать проводниками на устройство опасного программного обеспечения.

Как пишут эксперты по кибербезопасности, «Сцилла» — третья итерация зафиксированной компанией Human Security в 2019 году операции, когда более 40 приложений для Android открыто совершали различные виды мошенничества с рекламой. Первую волну операции назвали «Посейдон». Её обнаружили и остановили усилиями команды Human Security, в результате чего Google удалил вредоносные приложения из своего Play Store.

Схема 2020 года, которая стала второй итерацией и получила имя «Харибды», морского чудовища, сестры Сциллы и подельницы бога морей Посейдона, включала дополнительные методы запутывания кода.

Если «Посейдон» и «Харибда» задействовали в мошеннической схеме только приложения для Android, то «Сцилла», как выяснили исследователи группы Satori Threat Intelligence, также нацелена на приложения для iOS и «распространила атаку на другие части цифровой рекламной экосистемы». Приложения «Сциллы» при установке совершают несколько различных видов мошенничества с рекламой, такие как подделка идентификаторов приложений и пакетов, внеконтекстная и скрытая реклама, поддельные клики. Последний элемент служит для обмана заказчиков рекламы, т. к. клики появляющихся в приложении рекламных объявлений, за которые платит рекламодатель, на поверку оказываются фиктивные.

Как говорится в релизе, поскольку эта атака имела уже несколько волн, команда Satori утаила некоторые подробности об операции, чтобы скрыть свои козыри от кибермошенников, стоящих за операцией, лучше отслеживать и сообщать о дальнейших волнах.

Компания перечислила приложения, участвующие в схеме кибермошенников. Список ПО для ОС iOS:

Loot the Castle — com.loot.rcastle.fight.battle (id1602634568)

Run Bridge — com.run.bridge.race (id1584737005)

Shinning Gun — com.shinning.gun.ios (id1588037078)

Racing Legend 3D — com.racing.legend.like (id1589579456)

Rope Runner — com.rope.runner.family (id1614987707)

Wood Sculptor — com.wood.sculptor.cutter (id1603211466)

Fire-Wall — com.fire.wall.poptit (id1540542924)

Ninja Critical Hit — wger.ninjacriticalhit.ios (id1514055403)

Tony Runs — com.TonyRuns.game.

Список приложений для Android более обширный. Среди них такие как Lady Run, Magic Brush 3D, Shake Shake Sheep.

Компания Human Security использовала множество инструментов для идентификации «Сциллы» и ее операторов, информация о которых была передана правоохранительным органам.