Новый троян незаметно скачивает программы из Google Play

18 янв 2017 15:00 #51333 от ICT
Аналитики компании «Доктор Веб» обнаружили троянскую программу для мобильных устройств, которая внедряется в активный процесс программы Play Маркет и незаметно накручивает счетчик установок в каталоге Google Play. Android.Skyfin.1.origin предположительно попадает на мобильные устройства благодаря некоторым троянам семейства Android.DownLoader (например, Android.DownLoader.252.origin и Android.DownLoader.255.origin), которые после заражения смартфонов и планшетов пытаются получить root-доступ и скрытно устанавливают вредоносные программы в системный каталог. «Код этих троянов содержит характерные для Android.Skyfin.1.origin строки, поэтому с большой долей вероятности можно говорить о том, что распространением Android.Skyfin.1.origin занимаются именно указанные вредоносные приложения», — отметили в «Доктор Веб». При запуске Android.Skyfin.1.origin внедряет в процесс программы Play Маркет вспомогательный троянский модуль, получивший имя Android.Skyfin.2.origin. Он крадет уникальный идентификатор мобильного устройства и учетной записи его владельца, которые используются при работе с сервисами компании Google, различные внутренние коды авторизации для подключения к каталогу Google Play и другие конфиденциальные данные. Затем модуль передает эти сведения основному компоненту трояна Android.Skyfin.1.origin, после чего тот вместе с технической информацией об устройстве отправляет их на управляющий сервер. Используя собранные данные, Android.Skyfin.1.origin подключается к каталогу Google Play и имитирует работу приложения Play Маркет. Троян может выполнять следующие запросы: /search — поиск в каталоге для симуляции последовательности действий пользователя; /purchase – запрос на покупку программ; /commitPurchase — подтверждение покупки; /acceptTos — подтверждение согласия с условиями лицензионного соглашения; /delivery — запрос ссылки для скачивания apk-файла из каталога; /addReview /deleteReview /rateReview — добавление, удаление и оценка отзывов; /log — подтверждение скачивания программы, которое используется для накручивания счетчика установок. После скачивания заданного злоумышленниками приложения Android.Skyfin.1.origin не устанавливает его, а лишь сохраняет на карту памяти, поэтому пользователь не видит новые программы, возникшие из ниоткуда. В результате троян увеличивает свои шансы остаться незамеченным и может продолжать накручивать счетчик установок, искусственно повышая популярность приложений в Google Play. Вирусные аналитики «Доктор Веб» выявили несколько модификаций Android.Skyfin.1.origin. Одна из них умеет скачивать из каталога Google Play единственное приложение — com.op.blinkingcamera. Троян имитирует нажатие на баннер Google AdMob с рекламой этой программы, загружает ее apk-файл и автоматически увеличивает число загрузок, подтверждая «установку» на сервере Google. Другая модификация Android.Skyfin.1.origin более универсальна. Она может скачивать любые приложения из каталога — для этого троян получает от злоумышленников список программ для загрузки. Все известные модификации Android.Skyfin.1.origin успешно обнаруживаются антивирусными продуктами Dr.Web для Android, поэтому владельцы смартфонов и планшетов могут проверить, присутствует ли троянец на их устройствах. Однако поскольку Android.Skyfin.1.origin устанавливается в системный каталог, для его удаления необходимо использовать комплексное решение Dr.Web Security Space для Android, которое при наличии root-доступа способно бороться с подобным типом вредоносных приложений, указали в компании. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Троян из Google Play обманом заставляет пользователей устанавливать рекламируемые программы21.38Пятница, 29 апреля 2016
    Вредоносная программа скрыто скачивает приложения из Google Play19.31Пятница, 20 января 2017
    Троян-порнокликер продолжает распространяться через Google Play16.2Понедельник, 27 июля 2015
    Eset: троян-загрузчик обошел механизм защиты Google Play16.03Вторник, 21 ноября 2017
    Eset: мобильный банковский троян BankBot замаскировался под игры в Google Play15.86Вторник, 28 ноября 2017
    "Всё, заработало. Нас вернули в Google Play" — стало известно, почему "Авито" удаляли из Google Play14.11Пятница, 11 августа 2023
    Видеомессенджер Google Duo обошел по популярности Pokemon Go в американском Google Play11.3Пятница, 19 августа 2016
    Осенью Google может вернуться в Китай с модифицированной версией Google Play и Android Wear11.25Понедельник, 07 сентября 2015
    Google ввела премодерацию приложений в магазине Google Play11.25Среда, 18 марта 2015
    Google удалила приложение "Талибана" из магазина Google Play11.25Понедельник, 04 апреля 2016

    Мы в соц. сетях