Поиск
Дополнительное меню

Новости ИТ-бизнеса для Профессионалов

24 ноября : пятница

Курсы

USD ЦБ РФ 24/11 58.4622 -0.5439
EUR ЦБ РФ 24/11 69.1783 -0.2247
EUR/USD 24/11 1.1833 +0.0071

Более 2,3 млн пользователей загрузили приложения с троянцем из Google Play

14.11.2017 12:35

Вирусные аналитики компании "Доктор Веб" обнаружили в каталоге Google Play несколько приложений, в которые был встроен троянец Android.RemoteCode.106.origin. Эта вредоносная программа незаметно открывает сайты, переходит по расположенным на них рекламным ссылкам и баннерам, а также накручивает посещаемость интернет-ресурсов. Кроме того, она может использоваться для проведения фишинг-атак и кражи конфиденциальной информации.

Специалисты "Доктор Веб" выявили Android.RemoteCode.106.origin в 9 программах, которые в общей сложности загрузили от 2 370 000 до более чем 11 700 000 пользователей. Троянец был найден в приложениях Sweet Bakery Match 3 - Swap and Connect 3 Cakes версии 3.0, Bible Trivia версии 1.8, Fast Cleaner light версии 1.0, Make Money 1.9, Easy Backup & Restore версии 4.9.15, Learn to Sing версии 1.2 и других. Аналитики проинформировали Google о наличии Android.RemoteCode.106.origin в обнаруженных приложениях. На данный момент часть из них уже была обновлена, и троянец в них отсутствовал.

Перед началом вредоносной активности Android.RemoteCode.106.origin выполняет ряд проверок. Если на зараженном мобильном устройстве отсутствует определенное количество фотографий, контактов в телефонной книге и записей о звонках в журнале вызовов, троянец никак себя не проявляет. В случае же выполнения заданных условий он отправляет запрос на управляющий сервер и пытается перейти по ссылке, полученной в ответном сообщении. В случае успеха Android.RemoteCode.106.origin задействует свой основной функционал.

Троянец загружает с управляющего сервера список модулей, которые ему необходимо запустить. Один из них был добавлен в вирусную базу Dr.Web как Android.Click.200.origin. Он автоматически открывает в браузере сайт, адрес которого ему передает командный центр. Эта функция может использоваться для накрутки счетчика посещений интернет-ресурсов, а также проведения фишинг-атак, если троянец получит задание открыть мошенническую веб-страницу.

Второй троянский модуль, получивший имя Android.Click.199.origin, обеспечивает работу третьего компонента, внесенного в вирусную базу как Android.Click.201.origin. Он, в свою очередь, после старта соединяется с управляющим сервером, от которого получает задания. В них указываются адреса сайтов, которые троянец затем открывает в невидимом для пользователя окне WebView. После перехода по одному из целевых адресов Android.Click.201.origin самостоятельно нажимает на указанный в команде рекламный баннер или случайный элемент открытой страницы. Он повторяет эти действия до тех пор, пока не достигнет заданного числа нажатий.

Таким образом, основное предназначение троянца Android.RemoteCode.106.origin - загрузка и запуск дополнительных вредоносных модулей, которые используются для накрутки счетчика посещений сайтов, а также перехода по рекламным объявлениям, за что злоумышленники получают вознаграждение. Кроме того, вредоносная программа может использоваться для проведения фишинг-атак и кражи конфиденциальной информации.

Источник: @Astera

14 ноября