GhostClicker разработали для извлечения прибыли мошенническим способом. По утверждению спецов Trend Micro, она есть минимум в 340 приложениях офкаталога Google Play.
Вредоноске удалось, минуя все тестирования остаться невидимой, из-за функций отложенного старта и распределения своей активности между различными компонентами. Со слов экспертов, чтобы проникнуть в Googple Play GhostClicker в большинстве расчитывает на две техники - разделение вредоносного кода между API Google Mobile Services (GMS) и Facebook Ad’s SDK, а также огромный интерес к среде, где запускается приложение.
Обычное тестирование, типа работы в песочнице, помогают малвари своевременно обнаружить тестовую среду и не проводить там вредоносную деятельность. Оказывается, что подобные простенькие действия, начиная с августа прошлого года, приходят на помощь разработчикам GhostClicker, во время загрузки вредоносных приложений в Google Play.
Кроме того, вирусу удается не привлекать интерес, не требуя привилегий администратора. Операторы GhostClicker зарабатывают на том, что созывают рекламные объявления на платформу Google AdMob, а также с помощью перенаправки трафика.
Со слов экспертов, малварь разрабатывали, только для получения финансовой выгоды, ибо он не крадет секретные сведения клиентов и не проявляет иной вредоносности.
