Рекламный Android-троянец из Google Play

По сообщению компании «Доктор Веб», ее специалисты выявили в каталоге Google Play более 190 приложений, в которых находится троянец Android.Click.95. Эта программа создает для пользователей проблемы на мобильных устройствах и заставляет их устанавливать рекламируемые программы.

Приложения, в которые встроен Android.Click.95, в большинстве случаев представляют собой типичные программы-сборники, содержащие различные советы, гороскопы, сонники, анекдоты и другую информацию, свободно доступную в Интернете. В Google Play такие приложения распространяют как минимум шесть разработчиков: allnidiv, malnu3a, mulache, Lohari, Kisjhka и PolkaPola. В общей сложности троянца успели загрузить как минимум 140 тыс. пользователей. Компания Google была оповещена об инциденте.

Попадая на мобильное устройство, Android.Click.95 начинает вредоносную деятельность не сразу, а лишь через 6 часов после того, как будет запущена содержащая его программа, чтобы отвести подозрения жертвы от истинного источника нежелательной активности. Android.Click.95 проверяет, установлено ли на зараженном устройстве приложение, которое заранее указано в настройках троянца. В зависимости от результата он открывает в браузере мошеннический сайт с определенным тревожным сообщением. Например, если троянец не находит определенное приложение-браузер, пользователю демонстрируется предупреждение о том, что его текущий браузер небезопасен и нуждается в замене. Если же рекламируемая программа уже установлена, жертву пугают иной неполадкой – например, неисправностью аккумулятора.

Чобы решить возникшую «проблему», пользователю предлагается установить некое ПО. Чтобы наверняка заставить жертву установить рекламируемую программу, Android.Click.95 загружает мошенническую Web-страницу каждые 2 мин, фактически не давая нормально пользоваться устройством.

После того как хозяин атакованного мобильного устройства соглашается установить предлагаемое ПО и нажимает соответствующую кнопку на Web-странице, его перенаправляют в каталог Google Play, в котором автоматически открывается раздел с программой, рекламируемой троянцем в данный момент. За каждую успешную установку злоумышленники получают денежное вознаграждение в рамках рекламных партнерских программ, поэтому неудивительно, что они создали так много различных копий Android.Click.95.

Все программы, в которых скрывается Android.Click.95, детектируются и удаляются антивирусными продуктами Dr.Web для Android.