Более чем в 100 приложениях для Android обнаружен рекламный троян

Безопасность Пользователю MobileB2B
мобильная версия
, Текст: Татьяна Короткова

Вредоносные программы для ОС Android, которые приносят доход своим создателям благодаря показу навязчивой рекламы, становятся все более распространенными, сообщили CNews в компании «Доктор Веб». Очередного такого трояна, обладающего шпионскими функциями и получившего имя Android.Spy.277.origin, специалисты компании обнаружили более чем в 100 приложениях, размещенных в каталоге Google Play.

Большинство программ, в составе которых распространяется Android.Spy.277.origin, представляют собой поддельные версии популярного ПО, название и внешний вид которого злоумышленники позаимствовали для привлечения внимания пользователей и увеличения количества загрузок трояна. В частности, среди обнаруженных специалистами «Доктор Веб» программ-двойников встречаются всевозможные утилиты, фоторедакторы, графические оболочки, анимированные обои рабочего стола и другие приложения. В общей сложности вирусные аналитики выявили более 100 наименований программ, содержащих Android.Spy.277.origin, а суммарное количество их загрузок превысило 3,2 млн.

«Доктор Веб» уведомила службу безопасности корпорации Google о существующей проблеме, и на данный момент некоторые из этих вредоносных приложений уже недоступны для загрузки из каталога Google Play.

После запуска программ, в которых находится троян, последний передает на управляющий сервер очень подробные сведения о зараженном мобильном устройстве. Среди прочего, он собирает следующую информацию: e-mail-адрес, привязанный к пользовательской учетной записи Google; IMEI-идентификатор; версию ОС; версию SDK системы; название модели устройства; разрешение экрана; идентификатор сервиса Google Cloud Messaging (GCM id); номер мобильного телефона; страну проживания пользователя; тип центрального процессора; MAC-адрес сетевого адаптера; параметр «user_agent», формируемый по специальному алгоритму; наименование мобильного оператора; тип подключения к сети; подтип сети; наличие root-доступа в системе; наличие у приложения, в котором находится троян, прав администратора устройства; название пакета приложения, содержащего трояна; наличие установленного приложения Google Play.

Каждый раз, когда пользователь запускает то или иное приложение, установленное на устройстве, троян повторно передает на сервер вышеуказанные данные, название запущенного приложения, а также запрашивает параметры, необходимые для начала показа рекламы. В частности, Android.Spy.277.origin может получить следующие указания: «show_log» — включить или отключить ведение журнала работы трояна; «install_plugin» — установить плагин, скрытый внутри программного пакета вредоносного приложения; «banner», «interstitial», «video_ads» — показать различные виды рекламных баннеров (в том числе поверх интерфейса ОС и других приложений); «notification» — отобразить в информационной панели уведомление с полученными параметрами; «list_shortcut» — поместить на рабочий стол ярлыки, нажатие на которых приведет к открытию заданных разделов в каталоге Google Play; «redirect_gp» — открыть в приложении Google Play страницу с заданным в команде адресом; «redirect_browser» — открыть заданный веб-адрес в предустановленном браузере; «redirect_chrome» — открыть заданный веб-адрес в браузере Chrome; «redirect_fb» — перейти на указанную в команде страницу социальной сети Facebook.

Как видно на представленных ниже примерах рекламных баннеров, троян может фактически запугивать пользователей, например, ложно информируя о повреждении аккумулятора устройства и предлагая скачать ненужные программы для его «починки».

Примечательно, что плагин, скрытый в файловых ресурсах Android.Spy.277.origin, имеет тот же самый функционал, что и сам троян. Получив необходимую команду от сервера, вредоносное приложение пытается установить этот модуль под видом важного обновления. После его установки на зараженном устройстве фактически будут находиться две копии Android.Spy.277.origin, поэтому даже в случае удаления исходной версии трояна в системе останется его «дублер», который продолжит показывать навязчивую рекламу, пояснили в «Доктор Веб».

Компания рекомендует владельцам Android-смартфонов и планшетов внимательно относиться к скачиваемым приложениям и устанавливать их только в том случае, если есть уверенность в благонадежности разработчика. Все известные модификации Android.Spy.277.origin успешно обнаруживаются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для пользователей продуктов «Доктор Веб» этот троян не представляет опасности, утверждают в компании.