Метою першої кампанії є відображення нав’язливої реклами, а другої – збір даних без відома користувачів.
Дослідники компанії Check Point виявили відразу дві шкідливі кампанії проти користувачів Android-пристроїв. В обох кампаніях зловмисники використовують ланцюжок поставок розробки мобільних додатків.
Перша операція отримала назву SimBad. Кіберзлочинці інфікували шкідливим ПЗ 210 додатків (переважно ігор-симуляторів) з Google Play Store, які були завантажені користувачами 147 млн раз.
Заражені ігри відображають рекламу за межами самого додатка (наприклад, при розблокуванні смартфона або під час роботи з іншими програмами), відкривають вкладки браузера, переходячи за вказаними розробником посиланнях, а також безперервно відкривають Google Play або 9Apps Store і перенаправляють користувачів на інші додатки. Крім того, вони завантажують файли APK і вимагають від користувача встановити їх або непомітно завантажують шкідливе ПЗ. Крім іншого, заражена гра приховує свою іконку, щоб запобігти деінсталяції.
SimBad також може створювати фішингові сторінки для різних платформ і відкривати їх в браузері. Дослідники повідомили Google про шкідливої кампанії, і заражені програми були видалені з магазину.
Дослідники Check Point також виявили ряд Android-додатків, які збирають з мобільних пристроїв контактні дані без відома користувачів. Всі 12 додатків використовують SDK для отримання даних і в цілому були завантажені 111 млн раз. Ця шкідлива кампанія отримала назву Operation Sheep. Вона є першою задокументованою кампанією зі збору даних, що експлуатує уразливість Man-in-the-Disk, вперше описану Check Point в серпні 2018 року.
