Поделиться
Десятки игр из Google Play содержат Android-трояна
Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play десятки игровых приложений, скрывающих в себе трояна Android.Xiny.19.origin. Основное предназначение этой вредоносной программы — загрузка, установка и запуск программ по команде злоумышленников. Кроме того, троян способен показывать навязчивую рекламу, сообщили CNews в «Доктор Веб».
Вирусописатели встроили данного трояна в более чем 60 игр, которые затем разместили в каталоге Google Play от имени более чем 30 разработчиков, в частности, Conexagon Studio, Fun Color Games, BILLAPPS и многих других. «Доктор Веб» уже оповестил корпорацию Google о данном инциденте, и на момент публикации компанией данного материала заражённые игры ещё оставались в Google Play — рекомендуется не скачивать игры из каталога в ближайшие часы на устройствах, не защищённых антивирусом, советуют в компании.
На первый взгляд, выявленные программы мало чем отличаются от множества других подобных приложений — несмотря на то, что качество их весьма посредственное, после запуска они все же предоставляют владельцам Android-смартфонов и планшетов заявленный функционал. Однако если бы пользователи заранее знали о скрытом в них трояне, они вряд ли согласились бы на инсталляцию данного ПО.
Android.Xiny.19.origin передает на сервер информацию об IMEI-идентификаторе и MAC-адресе зараженного устройства, версии и текущем языке ОС, наименовании мобильного оператора, доступности карты памяти, имени приложения, в которое встроен троян, а также о том, находится ли соответствующая программа в системном каталоге.
Однако главная опасность Android.Xiny.19.origin заключается в том, что по команде злоумышленников он может скачивать и динамически запускать произвольные apk-файлы. При этом данная функция трояна реализована весьма интересным способом. В частности, для маскировки вредоносного объекта вирусописатели прячут его в специально созданных изображениях, фактически применяя метод стеганографии. В отличие от криптографии, когда исходная информация шифруется, а сам по себе факт шифрования может вызвать подозрение, стеганография позволяет скрывать те или иные данные незаметно. Судя по всему, находчивые вирусописатели подобным образом решили усложнить жизнь вирусным аналитикам с расчетом на то, что они не обратят внимания на внешне безобидные картинки, отметили в «Доктор Веб».
Получив от управляющего сервера нужное изображение, Android.Xiny.19.origin при помощи специального алгоритма извлекает из него спрятанный apk-файл, который в дальнейшем запускает на исполнение.
Android.Xiny.19.origin обладает и другими вредоносными функциями. В частности, троян может загружать и предлагать владельцу зараженного устройства установить различное ПО, а при наличии в системе root-доступа и вовсе инсталлировать и удалять приложения без ведома пользователя. Помимо этого, вредоносная программа способна показывать всевозможную навязчивую рекламу.
В настоящее время Android.Xiny.19.origin не имеет функционала для получения root-полномочий. Однако, учитывая то, что одним из основных предназначений трояна является установка ПО, ничто не мешает киберпреступникам отдать ему команду на загрузку набора эксплойтов с тем, чтобы вредоносная программа получила необходимые права и начала незаметно инсталлировать и даже удалять программы.
Специалисты «Доктор Веб» призывают владельцев мобильных Android-устройств не устанавливать сомнительное ПО, даже если оно находится в официальном каталоге Google Play. Все приложения, которые содержат трояна Android.Xiny.19.origin, детектируются и обезвреживаются антивирусными продуктами Dr.Web для Android, указали в компании.
Короткая ссылка
