Опасный троян-загрузчик для Android скачали 1,5 млн пользователей

Безопасность Телеком B2B Пользователю
мобильная версия
, Текст: Татьяна Короткова

Вирусные аналитики компании «Доктор Веб» обнаружили на этой неделе в Google Play, магазине приложений для ОС Android, вредоносную программу, получившую наименование Android.DownLoader.171.origin. Как сообщили CNews в «Доктор Веб», троян распространяется под именем KKBrowser.

Статистика загрузок на Google Play показывает порядка 100 тыс. — 500 тыс. установок приложения. Однако, если прибавить к этому числу китайские сборники ПО, на которых также распространяется Android.DownLoader.171.origin (Baidu — 880 тыс. установок, qq — 310 тыс., 360cn — 60 тыс., Wandoujia — 58 тыс.), то общее количество скачиваний превысит 1,5 млн. Также в каталоге Google Play присутствует версия данного трояна для пользователей из Индонезии (она насчитывает 1 тыс. — 5 тыс. загрузок).

По данным «Доктор Веб», Android.DownLoader.171.origin сочетает в себе функции трояна-загрузчика и рекламного приложения. После установки на инфицированном устройстве вредоносная программа обращается к управляющим серверам и загружает указанные злоумышленниками приложения. При этом в случае наличия на устройстве доступа с привилегиями root приложения устанавливаются автоматически, а в противном случае на экране устройства демонстрируется соответствующий запрос.

Троян умеет не только устанавливать, но также незаметно для пользователя удалять программы — автоматически при наличии прав root или с использованием запроса соответствующего разрешения у пользователя. Помимо этого, Android.DownLoader.171.origin способен демонстрировать пользователю уведомление в панели нотификаций Android, выглядящее, как сообщение о поступлении электронной почты. В то время как на самом деле содержимое нотификаций определяет управляющий сервер — при нажатии на такое сообщение открывается окно браузера и выполняется переход на указанный злоумышленниками веб-сайт.

Вредоносная программа выполняет проверку на наличие установленных антивирусов китайского производства, а также собирает и отправляет на сервер злоумышленников сведения об инфицированном устройстве, такие как язык локализации и версия ОС, наличие административного доступа, модель устройства, разрешение экрана, значение IMEI и т.д.