Существует четкая разница между миром мобильных устройств под управлением Android и iOS. И все предрассудки должны быть отброшены, потому что это факт. Рекламодатели платят премию, чтобы достичь якобы более глубоких владельцев телефонов и планшетов Apple. Оказывается, кто-то решил использовать это мошенническим способом и заработать на этом деньги. В магазине Google Play были загружаемые приложения, которые делали вид, что ваше устройство было сделано Apple, а мы смотрле и кликали на рекламу. Система была построена таким образом, чтобы генерируемый сетевой трафик выглядел как реальный трафик, исходящий от реальных устройств. В общей сложности приложения были загружены более 2 миллионов раз.
Единственный эффект, который мог видеть пользователь, состоял в том, что приложения отправляют гораздо большие объемы данных и потребляют энергию аккумулятора телефона с большей скоростью
Например, из 22 опасных названий в Google Play Sparkle Flashlight, приложение для фонарика, было загружено более миллиона раз. Начиная с марта этого года, Sparkle Flashlight и два других приложения были обновлены, чтобы добавить секретный загрузчик. Остальные 19 приложений были доступны с июня и включали загрузчик с самого начала. В дополнение к своей обычной роли они загружали и нажимали на рекламу. В то же время они делали вид, что клики исходили из различных приложений для устройств Apple (которые никак не связаны с вредоносными приложениями), работающих на самых разных моделях мобильных телефонов.
Объявления были вызваны очень умным способом. Таким образом, не было показано полноэкранных рекламных объявлений, которые могли бы раздражать пользователя устройства и привлекать внимание к этому приложению. Вместо этого вредоносная реклама вызывалась в скрытом окне браузера, в котором приложение имитирует взаимодействие пользователя с рекламой. Единственный эффект, который может видеть пользователь, состоит в том, что приложения отправляют гораздо большие объемы данных и потребляют заряд аккумулятора телефона с большей скоростью, чем обычно. Поскольку потребители не могли связать эти события с приложениями, их отзывы в Play содержат только несколько отрицательных комментариев.
Объявления были загружены и по ним «кликнули» независимо от того, использовалось ли приложение в настоящее время владельцем телефона. В тестах приложения работали на довольно высокой частоте: они проверяли новый sdk каждые 10 минут и загружали данные конфигурации рекламы каждые 80 секунд. Приложения использовали BOOT_COMPLETED для запуска после перезагрузки телефона. Весь механизм был направлен на то, чтобы манипулировать рекламодателями, обманывать их и получить от них деньги. Однако рекламное мошенничество это еще не все. Гораздо большая опасность для пользователя заключалась в том, что он также мог действовать как загрузчик, который загружал любой код, выбранный злоумышленником.