Более 1 млн пользователей загрузили трояна из Google Play

Безопасность Пользователю MobileB2B
мобильная версия
, Текст: Татьяна Короткова

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play очередного трояна. Эта вредоносная программа, добавленная в вирусную базу как Android.MulDrop.924, без ведома пользователей скачивает приложения и предлагает их установить. Кроме того, она показывает навязчивую рекламу, сообщили CNews в «Доктор Веб».

Android.MulDrop.924 распространяется через каталог Google Play в виде приложения с именем Multiple Accounts: 2 Accounts, которое, по данным компании, скачали уже более 1 млн владельцев Android-смартфонов и планшетов. Программа позволяет одновременно использовать несколько учетных записей в играх и другом ПО, установленном на мобильном устройстве. Однако это внешне безобидное и даже полезное приложение скрывает троянский функционал, о котором разработчик забыл сообщить потенциальным жертвам. «Доктор Веб» передала корпорации Google информацию о трояне, однако на момент публикации этой новости Android.MulDrop.924 все еще был доступен для загрузки.

По мнению специалистов компании, троянская программа имеет необычную модульную архитектуру. Часть ее функционала расположена в двух вспомогательных программных модулях, которые зашифрованы и спрятаны внутри PNG-изображения, расположенного в каталоге ресурсов Android.MulDrop.924. При запуске троян извлекает и копирует эти модули в свою локальную директорию в разделе /data, после чего загружает их в память.

Один из этих компонентов, помимо безобидных функций, содержит несколько рекламных плагинов, которые авторы Android.MulDrop.924 используют для получения прибыли. Среди них — троянский модуль Android.DownLoader.451.origin, без разрешения пользователя скачивающий игры и приложения и предлагающий установить их. Кроме того, он показывает навязчивую рекламу в панели уведомлений мобильного устройства.

Помимо каталога Google Play, Android.MulDrop.924 распространяется и через сайты-сборники ПО. Одна из модификаций трояна встроена в более раннюю версию приложения Multiple Accounts: 2 Accounts. Она подписана сторонним сертификатом и наряду с вредоносным модулем Android.DownLoader.451.origin содержит дополнительный троянский плагин Android.Triada.99, который скачивает эксплойты, чтобы получить на зараженном устройстве root-права, а также способен незаметно загружать и устанавливать программы. Использование стороннего сертификата может говорить о том, что указанную версию Android.MulDrop.924 модифицировала и распространяет другая группа вирусописателей, не связанная с создателями оригинального приложения, полагают в «Доктор Веб».

Все известные версии трояна Android.MulDrop.924 и его вредоносных компонентов детектируются антивирусными продуктами Dr.Web для Android.