Троянец, внедряющийся в Play Market

Как сообщила компания «Доктор Веб», ее вирусные аналитики обнаружили троянца, который внедряется в активный процесс программы Play Market и накручивает счетчик установок в каталоге Google Play. Такие программы, незаметно загружающие ПО на мобильные устройства, получили широкое распространение среди Android-троянцев, с их помощью злоумышленники получают вознаграждение за каждое успешное скачивание или установку того или иного приложения.

Android.Skyfin.1.origin предположительно попадает на мобильные устройства с помощью некоторых троянцев семейства Android.DownLoader (например, Android.DownLoader.252.origin и Android.DownLoader.255.origin), которые после заражения смартфонов и планшетов пытаются получить root-доступ и скрытно устанавливают вредоносные программы в системный каталог. Код этих троянцев содержит характерные для Android.Skyfin.1.origin строки, поэтому с большой долей вероятности можно говорить о том, что его распространением последнего занимаются именно такие программы.

При запуске Android.Skyfin.1.origin внедряет в процесс программы Play Market вспомогательный троянский модуль, получивший имя Android.Skyfin.2.origin. Он крадет уникальный идентификатор мобильного устройства и учетной записи его владельца, которые используются при работе с сервисами Google, различные внутренние коды авторизации для подключения к каталогу Google Play и другие конфиденциальные данные. Затем модуль передает эти сведения основному компоненту троянца Android.Skyfin.1.origin, после чего тот вместе с технической информацией об устройстве отправляет их на управляющий сервер.

Используя собранные данные, Android.Skyfin.1.origin подключается к каталогу Google Play и имитирует работу приложения Play Market. Троянец может выполнять ряд запросов. После скачивания заданного злоумышленниками приложения он не устанавливает его, а лишь сохраняет на карту памяти, поэтому пользователь не видит новые программы, возникшие из ниоткуда. В результате троянец увеличивает свои шансы остаться незамеченным и может продолжать накручивать счетчик установок, искусственно повышая популярность приложений в Google Play.

Вирусные аналитики «Доктор Веб» выявили несколько модификаций Android.Skyfin.1.origin. Одна из них скачивает из каталога Google Play единственное приложение – com.op.blinkingcamera. Троянец имитирует нажатие на баннер Google AdMob с рекламой этой программы, загружает ее apk-файл и автоматически увеличивает число загрузок, подтверждая «установку» на сервере Google. Другая модификация Android.Skyfin.1.origin более универсальна, она может скачивать любые приложения из каталога – для этого троянец получает от злоумышленников список программ для загрузки.

Как отмечают в компании, все известные модификации Android.Skyfin.1.origin обнаруживаются антивирусными продуктами Dr.Web для Android, поэтому владельцы смартфонов и планшетов могут проверить, присутствует ли троянец на их устройствах. Однако поскольку Android.Skyfin.1.origin устанавливается в системный каталог, для его удаления необходимо комплексное решение Dr.Web Security Space для Android, которое при наличии root-доступа способно бороться с подобным типом вредоносных приложений.