Вредоносный код также содержался в официальной версии приложения Weather – Simple Weather, размещенной в Google Play Store.
Специалисты британской компании Upstream обратили внимание на подозрительный трафик, исходящий со смартфонов некоторых клиентов. Как показало проведенное расследование , проблема содержится в приложении для показа прогноза погоды под названием «Weather Forecast-World Weather Accurate Radar», разработанном китайской компанией TCL Corporation, которой принадлежат бренды Alcatel, BlackBerry и Palm. Приложение предустановлено на ряде моделей смартфонов Alcatel (в частности, Pixi 4 и A3 Max), а также было доступно другим пользователям Android-устройств через каталог Google Play Store (число загрузок программы превышает 10 млн).
Изначально специалисты обнаружили, что приложение собирает данные (информацию о местоположении, адреса электронной почты, идентификаторы IMEI) и отправляет их на серверы в Китае. Как выяснилось позже, скрытый в программе вредоносный код действует иначе в определенных регионах. Например, в Бразилии, Кувейте, Нигерии, Южной Африке, Египте и Тунисе приложение пыталось подписать пользователей на дорогостоящие платные сервисы. В общей сложности специалисты заблокировали более 27 млн попыток подписаться на платные сервисы, что могло повлечь за собой общий ущерб в размере $1,5 млн.
Вредоносное поведение приложения не ограничивалось только сбором данных и подпиской на платные сервисы – программа действовала как рекламное ПО. Приложение открывало в фоновом режиме скрытые вкладки браузера и загружало web-страницы, на которых кликало на рекламные баннеры. Активность приложения ежедневно генерировала от 50 МБ до 250 МБ трафика, причиняя дополнительный финансовый ущерб.
В настоящее время Google уже удалила приложение из Play Store. На данный момент неясно, каким образом версии приложения (предустановленная на смартфонах, и размещенная в Play Store) оказались инфицированы вредоносным кодом. По одной из теорий, источником заражения мог стать один из разработчиков TCL Corporation, чьи системы были скомпрометированы. Сама компания пока никак не комментирует ситуацию.
