Более чем в 100 приложениях из Google Play обнаружен троянец-шпион, показывающий рекламу

Вредоносные программы для ОС Android, которые приносят доход своим создателям благодаря показу навязчивой рекламы, становятся все более распространенными.

Очередного такого троянца, обладающего шпионскими функциями и получившего имя Android.Spy.277.origin, специалисты компании «Доктор Веб» обнаружили в более чем 100 приложениях, размещенных в каталоге Google Play.

Большинство программ, в составе которых распространяется Android.Spy.277.origin, представляют собой поддельные версии популярного ПО, название и внешний вид которого злоумышленники позаимствовали для привлечения внимания пользователей и увеличения количества загрузок троянца. В частности, среди обнаруженных специалистами «Доктор Веб» программ-двойников встречаются всевозможные утилиты, фоторедакторы, графические оболочки, анимированные обои рабочего стола и другие приложения. В общей сложности вирусные аналитики выявили более 100 наименований программ, содержащих Android.Spy.277.origin, а суммарное количество их загрузок превысило 3 200 000. Компания «Доктор Веб» уведомила службу безопасности корпорации Google о существующей проблеме, и на данный момент некоторые из этих вредоносных приложений уже недоступны для загрузки из каталога Google Play.

После запуска программ, в которых находится троянец, последний передает на управляющий сервер очень подробные сведения о зараженном мобильном устройстве. Среди прочего, он собирает следующую информацию:

email-адрес, привязанный к пользовательской учетной записи Google;

IMEI-идентификатор;

версию ОС;

версию SDK системы;

навание модели устройства;

разрешение экрана;

идентификатор сервиса Google Cloud Messaging (GCM id);

номер мобильного телефона;

страну проживания пользователя;

тип центрального процессора;

MAC-адрес сетевого адаптера;

параметр «user_agent», формируемый по специальному алгоритму;

наименование мобильного оператора;

тип подключения к сети;

подтип сети;

наличие root-доступа в системе;

наличие у приложения, в котором находится троянец, прав администратора устройства;

название пакета приложения, содержащего троянца;

наличие установленного приложения Google Play.

Каждый раз, когда пользователь запускает то или иное приложение, установленное на устройстве, троянец повторно передает на сервер вышеуказанные данные, название запущенного приложения, а также запрашивает параметры, необходимые для начала показа рекламы. В частности, Android.Spy.277.origin может получить следующие указания:

«show_log» - включить или отключить ведение журнала работы троянца;

«install_plugin» - установить плагин, скрытый внутри программного пакета вредоносного приложения;

«banner», «interstitial», «video_ads» - показать различные виды рекламных баннеров (в том числе поверх интерфейса ОС и других приложений);

«notification» - отобразить в информационной панели уведомление с полученными параметрами;

«list_shortcut» - поместить на рабочий стол ярлыки, нажатие на которых приведет к открытию заданных разделов в каталоге Google Play;

«redirect_gp» - открыть в приложении Google Play страницу с заданным в команде адресом;

«redirect_browser» - открыть заданный веб-адрес в предустановленном браузере;

«redirect_chrome» - открыть заданный веб-адрес в браузере Chrome;

«redirect_fb» - перейти на указанную в команде страницу социальной сети Facebook.

Как видно на представленных ниже примерах рекламных баннеров, троянец может фактически запугивать пользователей, например, ложно информируя о повреждении аккумулятора устройства и предлагая скачать ненужные программы для его «починки».