Более чем в 100 приложениях из Google Play обнаружен троянец-шпион, показывающий рекламу

Большинство программ, в составе которых распространяется Android.Spy.277.origin, представляют собой поддельные версии популярного ПО, название и внешний вид которого злоумышленники позаимствовали для привлечения внимания пользователей и увеличения количества загрузок троянца. В частности, среди обнаруженных специалистами «Доктор Веб» программ-двойников встречаются всевозможные утилиты, фоторедакторы, графические оболочки, анимированные обои рабочего стола и другие приложения. В общей сложности вирусные аналитики выявили более 100 наименований программ, содержащих Android.Spy.277.origin, а суммарное количество их загрузок превысило 3 200 000. Компания «Доктор Веб» уведомила службу безопасности корпорации Google о существующей проблеме, и на данный момент некоторые из этих вредоносных приложений уже недоступны для загрузки из каталога Google Play.

После запуска программ, в которых находится троянец, последний передает на управляющий сервер очень подробные сведения о зараженном мобильном устройстве. Среди прочего, он собирает следующую информацию:

email-адрес, привязанный к пользовательской учетной записи Google;
IMEI-идентификатор;
версию ОС;
версию SDK системы;
навание модели устройства;
разрешение экрана;
идентификатор сервиса Google Cloud Messaging (GCM id);
номер мобильного телефона;
страну проживания пользователя;
тип центрального процессора;
MAC-адрес сетевого адаптера;
параметр «user_agent», формируемый по специальному алгоритму;
наименование мобильного оператора;
тип подключения к сети;
подтип сети;
наличие root-доступа в системе;
наличие у приложения, в котором находится троянец, прав администратора устройства;
название пакета приложения, содержащего троянца;
наличие установленного приложения Google Play.

Каждый раз, когда пользователь запускает то или иное приложение, установленное на устройстве, троянец повторно передает на сервер вышеуказанные данные, название запущенного приложения, а также запрашивает параметры, необходимые для начала показа рекламы. В частности, Android.Spy.277.origin может получить следующие указания:

«show_log» – включить или отключить ведение журнала работы троянца;
«install_plugin» – установить плагин, скрытый внутри программного пакета вредоносного приложения;
«banner», «interstitial», «video_ads» – показать различные виды рекламных баннеров (в том числе поверх интерфейса ОС и других приложений);
«notification» – отобразить в информационной панели уведомление с полученными параметрами;
«list_shortcut» – поместить на рабочий стол ярлыки, нажатие на которых приведет к открытию заданных разделов в каталоге Google Play;
«redirect_gp» – открыть в приложении Google Play страницу с заданным в команде адресом;
«redirect_browser» – открыть заданный веб-адрес в предустановленном браузере;
«redirect_chrome» – открыть заданный веб-адрес в браузере Chrome;
«redirect_fb» – перейти на указанную в команде страницу социальной сети Facebook.

Троянец может фактически запугивать пользователей, например, ложно информируя о повреждении аккумулятора устройства и предлагая скачать ненужные программы для его «починки».

Примечательно, что плагин, скрытый в файловых ресурсах Android.Spy.277.origin, имеет тот же самый функционал, что и сам троянец. Получив необходимую команду от сервера, вредоносное приложение пытается установить этот модуль под видом важного обновления. После его установки на зараженном устройстве фактически будут находиться две копии Android.Spy.277.origin, поэтому даже в случае удаления исходной версии троянца в системе останется его «дублер», который продолжит показывать навязчивую рекламу.

Ниже представлен список названий программных пакетов приложений, в которых на данный момент был найден троянец:

com.true.icaller
com.appstorenew.topappvn
com.easyandroid.free.ios6
com.entertainmentphotoedior.photoeffect
lockscreenios8.loveslockios.com.myapplication
com.livewallpaper.christmaswallpaper
com.entertainment.drumsetpro
com.entertainment.nocrop.nocropvideo
com.entertainment.fastandslowmotionvideotool
com.sticker.wangcats
com.chuthuphap.xinchu2016
smartapps.cameraselfie.camerachristmas
com.ultils.scanwifi
com.entertainmenttrinhduyet.coccocnhanhnhat
com.entertainment.malmath.apps.mm
com.newyear2016.framestickertet
com.entertainment.audio.crossdjfree
com.igallery.styleiphone
com.crazystudio.mms7.imessager
smartapps.music.nhactet
com.styleios.phonebookios9
com.battery.repairbattery
com.golauncher.ip
com.photo.entertainment.blurphotoeffect.photoeffect
com.irec.recoder
com.Jewel.pro2016
com.tones.ip.ring
com.entertainment.phone.speedbooster
com.noelphoto.stickerchristmas2016
smartapps.smstet.tinnhantet2016
com.styleios9.lockscreenchristmas2016
com.stickerphoto.catwangs
com.ultils.frontcamera
com.phaotet.phaono2
com.video.videoplayer
com.entertainment.mypianophone.pianomagic
com.entertainment.vhscamcorder
com.o2yc.xmas
smartapps.musictet.nhacxuan
com.inote.iphones6
christmas.dhbkhn.smartapps.christmas
com.bobby.carrothd
om.entertainment.camera.fisheyepro
com.entertainment.simplemind
com.icall.phonebook.io
com.entertainment.photo.photoeditoreffect
com.editphoto.makecdcover
com.tv.ontivivideo
smartapps.giaixam.gieoquedaunam
com.ultils.frontcamera
com.applock.lockscreenos9v4
com.beauty.camera.os
com.igallery.iphotos
com.calculator.dailycalories
com.os7.launcher.theme
com.trong.duoihinhbatchu.chucmungnammoi
com.apppro.phonebookios9
com.icamera.phone6s.os
com.entertainment.video.reversevideo
com.entertainment.photoeditor.photoeffect
com.appvv.meme
com.newyear.haitetnew
com.classic.redballhd
com.entertainmentmusic.musicplayer.styleiphoneios
com.camera.ios8.style
com.countdown.countdownnewyear2016
com.photographic.iphonecamera
com.contactstyle.phonebookstyleofios9
com.entertainment.blurphotobackground.photoeffect.cameraeditor.photoeffect
com.color.christmas.xmas
com.bottle.picinpiccamera
com.entertainment.videocollagemaker
com.wallpaper.wallpaperxmasandnewyear2016
com.ultils.lockapp.smslock
com.apppro.phonebookios9
com.entertainment.myguitar.guitarpro
com.sticker.stickerframetet2016
com.bd.android.kmlauncher
com.entertainment.batterysaver.batterydoctor
com.trong.jumpy.gamehaynhatquadat
com.entertainmentphotocollageeditor
smartapps.smsgiangsinh.christmas2016
smartapps.musicchristmas.christmasmusichot
com.golauncher.ip
com.applock.lockscreenos9v4
com.imessenger.ios
com.livewall.paper.xmas
com.main.windows.wlauncher.os.wp
com.entertainmentlaunchpad.launchpadultimate
com.fsoft.matchespuzzle
com.entertainment.photodat.image.imageblur
com.videoeditor.instashot
com.entertainment.hi.controls
com.icontrol.style.os
smartapps.zing.video.hot
com.photo.entertainment.photoblur.forinstasquare
com.entertainment.livewallpaperchristmas
com.entertainment.tivionline
com.iphoto.os
com.tool.batterychecker
com.photo.multiphotoblur
smartapps.nhactet.nhacdjtet
com.runliketroll.troll
com.jinx.metalslug.contra

Компания «Доктор Веб» рекомендует владельцам Android-смартфонов и планшетов внимательно относиться к скачиваемым приложениям и устанавливать их только в том случае, если есть уверенность в благонадежности разработчика. Все известные модификации Android.Spy.277.origin успешно обнаруживаются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот троянец не представляет опасности.

Тематики: Безопасность

Ключевые слова: Dr.Web