Рекламный троянец из Google Play

По сообщению компании «Доктор Веб», ее специалисты обнаружили в каталоге Google Play троянца, который показывает надоедливую рекламу, а также крадет конфиденциальную информацию. Эта вредоносная программа встроена более чем в 150 приложений, которые в общей сложности загрузило не менее 2,8 млн пользователей.

Троянец, получивший имя Android.Spy.305.origin, представляет собой рекламную платформу (SDK), которую создатели ПО используют для монетизации приложений. Специалисты «Доктор Веб» выявили как минимум семь разработчиков, встроивших Android.Spy.305.origin в свои программы и распространяющих их через каталог Google Play. Среди них – разработчики MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps и Mothrr Mobile Apps.

Среди приложений, в которых был найден троянец, встречаются «живые обои», сборники изображений, утилиты, ПО для работы с фотографиями, прослушивания интернет-радио и т. п. На данный момент вирусные аналитики «Доктор Веб» выявили 155 таких программ. Компания Google получила информацию об этих приложениях, однако многие из них все еще доступны для загрузки.

При запуске программ, в которых находится троянец, Android.Spy.305.origin соединяется с управляющим сервером, откуда получает команду на загрузку вспомогательного модуля, детектируемого как Android.Spy.306.origin. Этот компонент содержит основной вредоносный функционал, который используется при помощи класса DexClassLoader.

После этого троянец передает на сервер следующие данные:

• адрес электронной почты, привязанный к учетной записи Google;
• список установленных приложений;
• текущий язык ОС;
• наименование производителя и модели мобильного устройства;
• IMEI-идентификатор;
• версию операционной системы;
• разрешение экрана;
• название мобильного оператора;
• имя приложения, в котором содержится троянец;
• идентификатор разработчика приложения;
• версию троянского рекламного SDK.

Далее Android.Spy.305.origin приступает к выполнению основных функций – показу навязчивой рекламы. Троянец может выводить поверх интерфейса работающих приложений и ОС различные рекламные баннеры, в том числе с видеороликами. Кроме того, он способен размещать сообщения в панели уведомлений, например предлагая скачать то или иное ПО и даже пугая пользователя якобы обнаруженными вредоносными программами.

Специалисты «Доктор Веб» рекомендуют владельцам мобильных устройств обращать внимание на отзывы других пользователей, которые могут указать на то, что от установки того или иного приложения лучше воздержаться, а также загружать ПО только от известных разработчиков. Троянец Android.Spy.305.origin успешно детектируется и удаляется антивирусными продуктами Dr.Web для Android.