Очередной троянец в Google Play

По сообщению компании «Доктор Веб», ее вирусные аналитики обнаружили в каталоге Google Play игру со встроенным троянцем-загрузчиком, который может без ведома пользователей загружать, устанавливать и запускать другое ПО. Вредоносное приложение, получившее имя Android.DownLoader.558.origin, встроено в популярную игру BlazBlue, которую загрузили более миллиона пользователей мобильных устройств.

Троянец является частью специализированного программного комплекса (SDK, Software Development Kit) под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ. В отличие от стандартной процедуры обновления, когда старая версия приложения полностью заменяется новой, этот SDK позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета. Таким образом разработчики могут поддерживать версию установленного на мобильных устройствах ПО в актуальном состоянии, даже если пользователи не следят за выходом его новых версий. Однако платформа Excelliance работает как троянец-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления представляет опасность и нарушает правила каталога Google Play.

Android.DownLoader.558.origin начинает работу при первом старте программы или игры, в которую он встроен. Троянец вместе с другими элементами приложения извлекается из каталога с его ресурсами и расшифровывается. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает зараженное приложение.

Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек сервера в ответ Android.DownLoader.558.origin может получить команду на загрузку того или иного программного компонента. Например, в случае с игрой BlazBlue модуль предлагает скачать недостающие файлы, а также обновления, если они доступны.

Помимо дополнительных ресурсов приложения и его обновлений Android.DownLoader.558.origin способен загружать отдельные apk-, dex- и elf-файлы. В некоторых случаях их запуск может выполняться без ведома пользователя. Например, исполнение кода загруженных dex-файлов происходит автоматически и не требует никаких действий со стороны владельца устройства.

В то же время при установке скачиваемых apk-файлов пользователь видит стандартное диалоговое окно, однако при наличии root-доступа в системе Android.DownLoader.558.origin может устанавливать их совершенно незаметно. В этом и заключается главная опасность SDK Excelliance. Его авторы в любое время могут отдать команду на загрузку объектов, не связанных с основным приложением, например, рекламных модулей, сторонних программ и даже других троянцев, которые могут быть скачаны в обход каталога Google Play и запущены без разрешения.

Специалисты «Доктор Веб» уведомили компанию Google об опасном поведении троянского компонента в SDK, который используется в игре BlazBlue. Приложения, в которые встроен троянец, детектируются как Android.RemoteCode.81.origin и удаляются антивирусными продуктами Dr.Web для Android.