На Google Play появился вредоносный загрузчик для Android

KKBrowser скачало 1,5 млн пользователей.

Являясь официальным сборником приложений для мобильной операционной системы Google Android, Google Play иногда пополняется и вредоносными программами. Так, «Доктор Веб» сообщила об обнаружении на данном ресурсе Android.DownLoader.171.origin. Вредоносная программа распространяется под именем KKBrowser.

Статистика загрузок на Google Play показывает порядка 100-500 тыс. установок приложения, однако, если прибавить к этому числу китайские сборники ПО, на которых также распространяется Android.DownLoader.171.origin (Baidu — 880 тыс. установок, qq — 310 тыс., 360cn — 60 тыс., Wandoujia — 58 тыс.), общее количество скачиваний превысит 1,5 млн. Также в каталоге Google Play присутствует версия данного троянца для пользователей из Индонезии (она насчитывает 1000-5000 загрузок).

Android.DownLoader.171.origin сочетает в себе функции троянца-загрузчика и рекламного приложения. После установки на инфицированном устройстве вредоносная программа обращается к управляющим серверам и загружает указанные злоумышленниками приложения, при этом в случае наличия на устройстве доступа с привилегиями root приложения устанавливаются автоматически, а в противном случае на экране устройства демонстрируется соответствующий запрос.

Троянец умеет не только устанавливать, но также незаметно для пользователя удалять программы — автоматически при наличии прав root или с использованием запроса соответствующего разрешения у пользователя. Помимо этого Android.DownLoader.171.origin способен демонстрировать пользователю уведомление в панели нотификаций Android, выглядящее как сообщение о поступлении электронной почты, в то время как на самом деле содержимое нотификаций определяет управляющий сервер — при нажатии на такое сообщение открывается окно браузера и выполняется переход на указанный злоумышленниками сайт.

Вредоносная программа выполняет проверку на наличие установленных антивирусов китайского производства, а также собирает и отправляет на сервер злоумышленников сведения об инфицированном устройстве, такие как язык локализации и версия ОС, наличие административного доступа, модель устройства, разрешение экрана, значение IMEI.

Оцените статью
( Пока оценок нет )
ASTERA