Android.Skyfin.1.origin внедряется в «Play Маркет» и незаметно скачивает программы из Google Play

Троянец может выполнять поиск в каталоге для симуляции последовательности действий пользователя, запрос на покупку программ и даже добавлять и удалять отзывы.

Среди бесчисленных Android-троянцев широкое распространение получили вредоносы, которые незаметно загружают ПО на мобильные устройства. С их помощью злоумышленники получают вознаграждение за каждое успешное скачивание или установку того или иного приложения. Один из таких троянцев, Android.Skyfin.1.origin, которого обнаружили эксперты «Доктора Веб», внедряется в активный процесс программы «Play Маркет» и незаметно накручивает счетчик установок в каталоге Google Play.

Android.Skyfin.1.origin предположительно попадает на мобильные устройства благодаря некоторым троянцам семейства Android.DownLoader, которые после заражения смартфонов и планшетов пытаются получить root-доступ и скрытно устанавливают вредоносные программы в системный каталог. При запуске Android.Skyfin.1.origin внедряет в процесс программы «Play Маркет» вспомогательный троянский модуль, получивший имя Android.Skyfin.2.origin. Он крадет уникальный идентификатор мобильного устройства и учетной записи его владельца, которые используются при работе с сервисами Google, различные внутренние коды авторизации для подключения к каталогу Google Play и другие конфиденциальные данные. Затем модуль передает эти сведения основному компоненту троянца Android.Skyfin.1.origin, после чего тот вместе с технической информацией об устройстве отправляет их на управляющий сервер.

Используя собранные данные, Android.Skyfin.1.origin подключается к каталогу Google Play и имитирует работу приложения «Play Маркет». Троянец может выполнять поиск в каталоге для симуляции последовательности действий пользователя, запрос на покупку программ, подтверждение покупки, добавление, удаление и оценку отзывов, а также подтверждение скачивания программы, которое используется для накручивания счетчика установок.

После скачивания заданного злоумышленниками приложения Android.Skyfin.1.origin не устанавливает его, а лишь сохраняет на карту памяти, поэтому пользователь не видит новые программы, возникшие из ниоткуда. В результате троянец увеличивает свои шансы остаться незамеченным и может продолжать накручивать счетчик установок, искусственно повышая популярность приложений в Google Play.

Вирусные аналитики компании «Доктор Веб» выявили несколько модификаций Android.Skyfin.1.origin. Одна из них умеет скачивать из каталога Google Play единственное приложение — com.op.blinkingcamera. Троянец имитирует нажатие на баннер Google AdMob с рекламой этой программы, загружает ее apk-файл и автоматически увеличивает число загрузок, подтверждая «установку» на сервере Google. Другая модификация Android.Skyfin.1.origin более универсальна. Она может скачивать любые приложения из каталога — для этого троянец получает от злоумышленников список программ для загрузки.

ASTERA