Rambler's Top100
Все новости Новости отрасли

Более чем в 100 приложениях из Google Play обнаружен троянец-шпион, показывающий рекламу

01 апреля 2016

Вредоносные программы для ОС Android, которые приносят доход своим создателям благодаря показу навязчивой рекламы, становятся все более распространенными.

Очередного такого троянца, обладающего шпионскими функциями и получившего имя Android.Spy.277.origin, специалисты компании «Доктор Веб» обнаружили в более чем 100 приложениях, размещенных в каталоге Google Play.

Большинство программ, в составе которых распространяется Android.Spy.277.origin, представляют собой поддельные версии популярного ПО, название и внешний вид которого злоумышленники позаимствовали для привлечения внимания пользователей и увеличения количества загрузок троянца. В частности, среди обнаруженных специалистами «Доктор Веб» программ-двойников встречаются всевозможные утилиты, фоторедакторы, графические оболочки, анимированные обои рабочего стола и другие приложения. В общей сложности вирусные аналитики выявили более 100 наименований программ, содержащих Android.Spy.277.origin, а суммарное количество их загрузок превысило 3 200 000. Компания «Доктор Веб» уведомила службу безопасности корпорации Google о существующей проблеме, и на данный момент некоторые из этих вредоносных приложений уже недоступны для загрузки из каталога Google Play.

После запуска программ, в которых находится троянец, последний передает на управляющий сервер очень подробные сведения о зараженном мобильном устройстве. Среди прочего, он собирает следующую информацию:

email-адрес, привязанный к пользовательской учетной записи Google;

IMEI-идентификатор;

версию ОС;

версию SDK системы;

навание модели устройства;

разрешение экрана;

идентификатор сервиса Google Cloud Messaging (GCM id);

номер мобильного телефона;

страну проживания пользователя;

тип центрального процессора;

MAC-адрес сетевого адаптера;

параметр «user_agent», формируемый по специальному алгоритму;

наименование мобильного оператора;

тип подключения к сети;

подтип сети;

наличие root-доступа в системе;

наличие у приложения, в котором находится троянец, прав администратора устройства;

название пакета приложения, содержащего троянца;

наличие установленного приложения Google Play.

Каждый раз, когда пользователь запускает то или иное приложение, установленное на устройстве, троянец повторно передает на сервер вышеуказанные данные, название запущенного приложения, а также запрашивает параметры, необходимые для начала показа рекламы. В частности, Android.Spy.277.origin может получить следующие указания:

«show_log» – включить или отключить ведение журнала работы троянца;

«install_plugin» – установить плагин, скрытый внутри программного пакета вредоносного приложения;

«banner», «interstitial», «video_ads» – показать различные виды рекламных баннеров (в том числе поверх интерфейса ОС и других приложений);

«notification» – отобразить в информационной панели уведомление с полученными параметрами;

«list_shortcut» – поместить на рабочий стол ярлыки, нажатие на которых приведет к открытию заданных разделов в каталоге Google Play;

«redirect_gp» – открыть в приложении Google Play страницу с заданным в команде адресом;

«redirect_browser» – открыть заданный веб-адрес в предустановленном браузере;

«redirect_chrome» – открыть заданный веб-адрес в браузере Chrome;

«redirect_fb» – перейти на указанную в команде страницу социальной сети Facebook.

Примечательно, что плагин, скрытый в файловых ресурсах Android.Spy.277.origin, имеет тот же самый функционал, что и сам троянец. Получив необходимую команду от сервера, вредоносное приложение пытается установить этот модуль под видом важного обновления. После его установки на зараженном устройстве фактически будут находиться две копии Android.Spy.277.origin, поэтому даже в случае удаления исходной версии троянца в системе останется его «дублер», который продолжит показывать навязчивую рекламу.

Ниже представлен список названий программных пакетов приложений, в которых на данный момент был найден троянец:

com.true.icaller

com.appstorenew.topappvn

com.easyandroid.free.ios6

com.entertainmentphotoedior.photoeffect

lockscreenios8.loveslockios.com.myapplication

com.livewallpaper.christmaswallpaper

com.entertainment.drumsetpro

com.entertainment.nocrop.nocropvideo

com.entertainment.fastandslowmotionvideotool

com.sticker.wangcats

com.chuthuphap.xinchu2016

smartapps.cameraselfie.camerachristmas

com.ultils.scanwifi

com.entertainmenttrinhduyet.coccocnhanhnhat

com.entertainment.malmath.apps.mm

com.newyear2016.framestickertet

com.entertainment.audio.crossdjfree

com.igallery.styleiphone

com.crazystudio.mms7.imessager

smartapps.music.nhactet

com.styleios.phonebookios9

com.battery.repairbattery

com.golauncher.ip

com.photo.entertainment.blurphotoeffect.photoeffect

com.irec.recoder

com.Jewel.pro2016

com.tones.ip.ring

com.entertainment.phone.speedbooster

com.noelphoto.stickerchristmas2016

smartapps.smstet.tinnhantet2016

com.styleios9.lockscreenchristmas2016

com.stickerphoto.catwangs

com.ultils.frontcamera

com.phaotet.phaono2

com.video.videoplayer

com.entertainment.mypianophone.pianomagic

com.entertainment.vhscamcorder

com.o2yc.xmas

smartapps.musictet.nhacxuan

com.inote.iphones6

christmas.dhbkhn.smartapps.christmas

com.bobby.carrothd

om.entertainment.camera.fisheyepro

com.entertainment.simplemind

com.icall.phonebook.io

com.entertainment.photo.photoeditoreffect

com.editphoto.makecdcover

com.tv.ontivivideo

smartapps.giaixam.gieoquedaunam

com.ultils.frontcamera

com.applock.lockscreenos9v4

com.beauty.camera.os

com.igallery.iphotos

com.calculator.dailycalories

com.os7.launcher.theme

com.trong.duoihinhbatchu.chucmungnammoi

com.apppro.phonebookios9

com.icamera.phone6s.os

com.entertainment.video.reversevideo

com.entertainment.photoeditor.photoeffect

com.appvv.meme

com.newyear.haitetnew

com.classic.redballhd

com.entertainmentmusic.musicplayer.styleiphoneios

com.camera.ios8.style

com.countdown.countdownnewyear2016

com.photographic.iphonecamera

com.contactstyle.phonebookstyleofios9

com.entertainment.blurphotobackground.photoeffect.cameraeditor.photoeffect

com.color.christmas.xmas

com.bottle.picinpiccamera

com.entertainment.videocollagemaker

com.wallpaper.wallpaperxmasandnewyear2016

com.ultils.lockapp.smslock

com.apppro.phonebookios9

com.entertainment.myguitar.guitarpro

com.sticker.stickerframetet2016

com.bd.android.kmlauncher

com.entertainment.batterysaver.batterydoctor

com.trong.jumpy.gamehaynhatquadat

com.entertainmentphotocollageeditor

smartapps.smsgiangsinh.christmas2016

smartapps.musicchristmas.christmasmusichot

com.golauncher.ip

com.applock.lockscreenos9v4

com.imessenger.ios

com.livewall.paper.xmas

com.main.windows.wlauncher.os.wp

com.entertainmentlaunchpad.launchpadultimate

com.fsoft.matchespuzzle

com.entertainment.photodat.image.imageblur

com.videoeditor.instashot

com.entertainment.hi.controls

com.icontrol.style.os

smartapps.zing.video.hot

com.photo.entertainment.photoblur.forinstasquare

com.entertainment.livewallpaperchristmas

com.entertainment.tivionline

com.iphoto.os

com.tool.batterychecker

com.photo.multiphotoblur

smartapps.nhactet.nhacdjtet

com.runliketroll.troll

com.jinx.metalslug.contra

Компания «Доктор Веб» рекомендует владельцам Android-смартфонов и планшетов внимательно относиться к скачиваемым приложениям и устанавливать их только в том случае, если есть уверенность в благонадежности разработчика. Все известные модификации Android.Spy.277.origin успешно обнаруживаются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот троянец не представляет опасности.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.