Специалисты компании «Доктор Веб» нашли в каталоге Google Play очередного троянца — Android.MulDrop.924. Вредонос показывает навязчивую рекламу, а также без ведома пользователей скачивает приложения и предлагает их установить.
Android.MulDrop.924 распространяется в виде приложения Multiple Accounts: 2 Accounts, которое скачали уже более миллиона владельцев Android-смартфонов и планшетов. Программа позволяет одновременно использовать несколько учетных записей в играх и другом ПО, установленном на мобильном устройстве. Однако это внешне безобидное и даже полезное приложение скрывает троянский функционал, о котором разработчик «забыл» сообщить потенциальным жертвам. Эксперты «Доктор Веб» передали корпорации Google информацию об Android.MulDrop.924.
Троянец имеет необычную модульную архитектуру. Часть его функционала расположена в двух вспомогательных программных модулях, которые зашифрованы и спрятаны внутри PNG-изображения, расположенного в каталоге ресурсов Android.MulDrop.924. При запуске троянец извлекает и копирует эти модули в свою локальную директорию в разделе /data, после чего загружает их в память. Один из этих компонентов помимо безобидных функций содержит несколько рекламных плагинов, которые авторы Android.MulDrop.924 используют для получения прибыли. Среди них — троянский модуль Android.DownLoader.451.origin, без разрешения пользователя скачивающий игры и приложения и предлагающий установить их.
Помимо каталога Google Play, Android.MulDrop.924 распространяется и через сайты-сборники ПО. Одна из модификаций троянца встроена в более раннюю версию приложения Multiple Accounts: 2 Accounts. Она подписана сторонним сертификатом и наряду с вредоносным модулем Android.DownLoader.451.origin содержит дополнительный троянский плагин Android.Triada.99, который скачивает эксплойты, чтобы получить на зараженном устройстве root-права, а также способен незаметно загружать и устанавливать программы.