Вредоносные программы для ОС Android, которые приносят доход своим создателям благодаря показу навязчивой рекламы, становятся все более распространенными. Очередного такого троянца, обладающего шпионскими функциями и получившего имя Android.Spy.277.origin, специалисты компании «Доктор Веб» обнаружили в более чем 100 приложениях, размещенных в каталоге Google Play.
Большинство программ, в составе которых распространяется Android.Spy.277.origin, представляют собой поддельные версии популярного ПО, название и внешний вид которого злоумышленники позаимствовали для привлечения внимания пользователей и увеличения количества загрузок троянца. В частности, среди обнаруженных специалистами «Доктор Веб» программ-двойников встречаются всевозможные утилиты, фоторедакторы, графические оболочки, анимированные обои рабочего стола и другие приложения. В общей сложности вирусные аналитики выявили более 100 наименований программ, содержащих Android.Spy.277.origin, а суммарное количество их загрузок превысило 3 200 000. Компания «Доктор Веб» уведомила службу безопасности корпорации Google о существующей проблеме, и на данный момент некоторые из этих вредоносных приложений уже недоступны для загрузки из каталога Google Play.
После запуска программ, в которых находится троянец, последний передает на управляющий сервер очень подробные сведения о зараженном мобильном устройстве. Среди прочего, он собирает следующую информацию:
- email-адрес, привязанный к пользовательской учетной записи Google;
- IMEI-идентификатор;
- версию ОС;
- версию SDK системы;
- навание модели устройства;
- разрешение экрана;
- идентификатор сервиса Google Cloud Messaging (GCM id);
- номер мобильного телефона;
- страну проживания пользователя;
- тип центрального процессора;
- MAC-адрес сетевого адаптера;
- параметр «user_agent», формируемый по специальному алгоритму;
- наименование мобильного оператора;
- тип подключения к сети;
- подтип сети;
- наличие root-доступа в системе;
- наличие у приложения, в котором находится троянец, прав администратора устройства;
- название пакета приложения, содержащего троянца;
- наличие установленного приложения Google Play.
Каждый раз, когда пользователь запускает то или иное приложение, установленное на устройстве, троянец повторно передает на сервер вышеуказанные данные, название запущенного приложения, а также запрашивает параметры, необходимые для начала показа рекламы. В частности, Android.Spy.277.origin может получить следующие указания:
- «show_log» – включить или отключить ведение журнала работы троянца;
- «install_plugin» – установить плагин, скрытый внутри программного пакета вредоносного приложения;
- «banner», «interstitial», «video_ads» – показать различные виды рекламных баннеров (в том числе поверх интерфейса ОС и других приложений);
- «notification» – отобразить в информационной панели уведомление с полученными параметрами;
- «list_shortcut» – поместить на рабочий стол ярлыки, нажатие на которых приведет к открытию заданных разделов в каталоге Google Play;
- «redirect_gp» – открыть в приложении Google Play страницу с заданным в команде адресом;
- «redirect_browser» – открыть заданный веб-адрес в предустановленном браузере;
- «redirect_chrome» – открыть заданный веб-адрес в браузере Chrome;
- «redirect_fb» – перейти на указанную в команде страницу социальной сети Facebook*.
Как видно на представленных ниже примерах рекламных баннеров, троянец может фактически запугивать пользователей, например, ложно информируя о повреждении аккумулятора устройства и предлагая скачать ненужные программы для его «починки».
А ниже показаны примеры рекламных сообщений, которые отображаются в панели уведомлений, а также рекламные ярлыки, при нажатии на которые пользователь попадает на страницы с рекламируемыми приложениями, размещенными в каталоге Google Play.
Примечательно, что плагин, скрытый в файловых ресурсах Android.Spy.277.origin, имеет тот же самый функционал, что и сам троянец. Получив необходимую команду от сервера, вредоносное приложение пытается установить этот модуль под видом важного обновления. После его установки на зараженном устройстве фактически будут находиться две копии Android.Spy.277.origin, поэтому даже в случае удаления исходной версии троянца в системе останется его «дублер», который продолжит показывать навязчивую рекламу.
Компания «Доктор Веб» рекомендует владельцам Android-смартфонов и планшетов внимательно относиться к скачиваемым приложениям и устанавливать их только в том случае, если есть уверенность в благонадежности разработчика. Все известные модификации Android.Spy.277.origin успешно обнаруживаются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот троянец не представляет опасности.
* Деятельность Meta* (соцсети Facebook* и Instagram*) запрещена в России как экстремистская.