Специалисты компании «ДокторВеб» выявили подозрительный программный код в приложении Love Spouse, предназначенном для управления игрушками для взрослых. Приложение было загружено из официального магазина Google Play и, как оказалось, содержит троян-кликер, скрытно открывающий рекламные страницы и имитирующий клики по ним. Подобные вредоносные программы могут применяться для тайного показа рекламы, искусственного увеличения количества переходов по ссылкам, подписки на платные услуги и организации DDoS-атак.

Обнаруженный троян, получивший название Android.Click.414.origin, маскировался под компонент для сбора отладочной информации (библиотека com.android.logcatch). Помимо Love Spouse, этот же вредонос был найден в приложении QRunning, предназначенном для отслеживания физической активности пользователя. Оба приложения разработаны китайскими компаниями и пользовались значительной популярностью, будучи установленными в совокупности более чем на 1,5 миллионах устройств.

По мнению исследователей, внедрение вредоносного кода произошло в последних версиях приложений. На данный момент разработчики Love Spouse уже выпустили обновление до версии 1.8.8, в которой троян отсутствует. Обновлений QRunning пока не было.

Специалисты «ДокторВеб» отмечают, что найденный троян является модификацией другой вредоносной программы Android.Click.410.origin, обнаруженной ими в апреле прошлого года на ТВ-приставке V88mini. Тогда выяснилось, что операционная система на устройстве не соответствовала заявленной — вместо Android 12 была установлена Android 7. Подобные ситуации характерны для бюджетных ТВ-приставок, что подтвердилось похожим случаем на приставке X96Q.

Троян Android.Click.414.origin имеет модульную структуру. Один модуль собирает информацию об устройстве, а два других скрытно загружают страницы, показывают рекламу и кликают по ней. Малварь также способна определять запуск основного приложения в контролируемой среде и сообщать об этом на свой управляющий сервер. Примечательно, что троян не активируется на устройствах с китайским языком интерфейса.

При успешном запуске вредонос отправляет на свой сервер детальные сведения об устройстве (бренд, модель, версию ОС, IP-адрес и т.д.) и активирует одну или несколько стратегий работы. Троян незаметно для пользователя загружает сайты через WebView, прокручивает страницы, вводит текст в формы, отключает звук при воспроизведении аудио/видео. Для этого выполняется JavaScript-код, полученный от сервера. Также малварь делает скриншоты сайтов, анализирует их и определяет области для кликов. В некоторых случаях для получения рекламных ссылок по ключевым словам используются поисковые системы Bing, Yahoo и Google.

Изначально этот троян обнаруживался только в приложениях из неофициальных магазинов для Android, но в феврале 2024 года проник и в Google Play Store.