Menu

У Google Play виявлено 28 додатків, які поширюють Android-троянців

Компанія «Доктор Веб» повідомляє про те, що в офіційному каталозі Google Play були знайдені 28 додатків, що містять шкідливі рекламний модуль, здатний завантажувати троянців для мобільної платформи Android. Сумарне число установок цих програм, а, відповідно, і потенційних жертв сягає кількох мільйонів.

Реклама в Android-додатках вже давно і успішно застосовується різними розробниками для монетизації своїх праць це легальний і дуже зручний спосіб окупити витрачені на створення програм кошти і час. Тим не менш, заповзятливі кіберзлочинці ще в 2011 році вирішили використовувати в своїх цілях можливості рекламних мереж для мобільних пристроїв, а саме поширювати з їх допомогою троянські програми. Дотепер найбільш популярними серед них є троянці сімейства Android.SmsSend, призначені для відправки дорогих SMS-повідомлень і підписки користувачів на платні контент-послуги. Про один з таких інцидентів компанія «Доктор Веб» повідомляла зовсім недавно. Крім того, останнім часом розширюється список шкідливих програм, які розповсюджуються таким чином.

Незважаючи на те, що існуючі рекламні мережі для мобільних Android пристроїв, такі як Google AdMob, Airpush, Startapp та ін., цілком успішно задовольняють потреби шахраїв, останні вирішили піти далі і створили собі в допомогу власну рекламну платформу. На перший погляд вона нічим не відрізняється від інших, представлених на ринку: мережа пропонує Android-розробникам вельми привабливі умови використання рекламного API, обіцяючи високий і стабільний дохід, а також зручність управління і контролю облікових записів. Не дивно, що деякі розробники додатків серйозно зацікавилися новою платформою.

Як і в багатьох інших Adware-модулях, для відображення рекламних повідомлень у цьому рекламному API використовується push-метод, коли в панель стану мобільного Android-пристрої виводиться те чи інше інформаційне повідомлення. Однак крім заявлених функцій дана платформа містить ряд прихованих можливостей.

 

В Google Play обнаружены 28 приложений, распространяющих Android-троянцев

Так, у push-повідомленнях від шахрайської рекламної мережі може демонструватися інформація про необхідність установки важливого оновлення для тих або інших додатків. У разі якщо нічого не підозрюючи користувач погоджується на встановлення такого «оновлення», рекламний модуль виконує завантаження якогось apk-пакету і поміщає його на карту пам'яті в каталог завантажень /mnt/sdcard/download. Цей модуль може також створити на головному екрані мобільного пристрою ярлик, пов'язаний з тільки що завантаженим, і в подальшому при натисканні користувача на цей ярлик буде ініційовано процес встановлення відповідної програми.

Проведене фахівцями компанії «Доктор Веб» дослідження показало, що файли таким чином apk-файли є представниками сімейства троянських програм Android.SmsSend. Подальший аналіз дозволив виявити джерело, звідки відбувалася завантаження даних троянців: їм виявилися сервера, на IP-адреси яких зареєстровані різні підроблені каталоги додатків. Зокрема, в трьох проаналізованих додатках шахрайська рекламна платформа використовує зв'язок з керуючим сервером за адресою 188.130.xxx.xx, а в інших двадцяти п'яти - зв'язок здійснюється через керуючий сервер з адресою 91.226.xxx.xx. Дані адреси ще кілька днів тому були оперативно внесені в модуль Батьківського контролю антивіруса Dr.Web і успішно їм блокуються.

 

В Google Play обнаружены 28 приложений, распространяющих Android-троянцев

Нижче представлений повний список команд з керуючих серверів, які може приймати та виконувати шкідлива рекламна платформа:

  • news - показати push повідомлення
  • showpage - відкрити веб сторінку в браузері
  • install - завантажити і встановити apk
  • showinstall - показати push повідомлення з установкою apk
  • iconpage - створити ярлик на веб-сторінку
  • iconinstall - створити ярлик на завантажений apk
  • newdomen - змінити адресу керівного сервера
  • seconddomen - запасний адреса сервера
  • stop - припинити звертатися до сервера
  • testpost - надсилає запит повторно
  • ok - нічого не робити

Крім виконання даних команд, шахрайський модуль здатний також збирати і відправляти на командний сервер наступну інформацію: imei мобільного пристрою, код оператора і номер imsi стільникового телефону.

Особлива небезпека цього рекламного API полягає в тому, що містять його програми були виявлені в офіційному каталозі Google Play, що де факто вважається найбільш безпечним джерелом Android-програм. Через те, що багато користувачів звикли довіряти безпеки Google Play, кількість установок уражених цим рекламним модулем програм досить велика. З-за обмежень, накладених компанією Google на статистичну інформацію про число завантажень додатків з її каталогу, не можна з абсолютною точністю назвати загальна кількість потенційних жертв, проте на підставі наявних у розпорядженні фахівців «Доктор Веб» відомостей справедливо стверджувати, що можливе число потерпілих може досягати більш ніж 5,3 мільйона користувачів. Це найбільший і найбільш масовий з часів введення антивірусної системи Google Bouncer випадок зараження шкідливими програмами, які перебували в каталозі Google Play.

 

В Google Play обнаружены 28 приложений, распространяющих Android-троянцев
В Google Play обнаружены 28 приложений, распространяющих Android-троянцев

Беручи до уваги шкідливий функціонал дослідженого рекламного API, а також виявлений зв'язок з сайтами, які поширюють шкідливе пз для Android, фахівці компанії «Доктор Веб» віднесли даний модуль до adware-системам, створеним кіберзлочинцями саме для таких цілей. В антивірусні бази він внесений під ім'ям Android.Androways.1.origin і не представляє загрози для користувачів антивіруса Dr.Web для Android.

|