Компания Google удалила из официального каталога приложений Android Market 56
приложений, инфицированных вредоносным ПО DroidDream. Программы находились в
каталоге несколько дней, что привело, по приблизительным подсчетам, к заражению
от 50 до 200 тысяч телефонов. Кроме удаления зараженных трояном программ из
каталога, компания Google активировала функцию принудительного удаления данных
программ с телефонов пользователей, которые в ближайшее время получат на своем
аппарате соответствующее предупреждение.
Содержащие троянский код программы охватывают достаточно широкий спектр
областей: от систем для создания рингтонов, графических редакторов и приложений
для настройки гитары, до научных калькуляторов, файловых менеджеров и приложений
для управления запущенными задачами. Все эти программы являются переименованными
вариантами пользующихся популярностью приложений. Объединяет все вредоносные
программы их размещение под тремя пользовательскими аккаунтами "Kingmall2010",
"we20090202" и "Myournet". Не исключено, что в ближайшие часы будут выявлены
новые вредоносные программы, так как разбирательство и проверка архива еще не
завершены (утром сообщалось о 21 приложении, а сейчас их число возросло до 56).
DroidDream является типовым инструментарием для внедрения троянского ПО в
программы. После установки на телефон программы, в которую интегрирован код
DroidDream, данная программа может выполнять такие функции, как отправка
злоумышленникам личных данных и параметров аккаунта пользователя. В коде
DroidDream имеется реализация эксплоита, направленного на взлом изолированного
окружения Android, организации полного контроля над ресурсами телефона и
получения root-прав. Кроме того, DroidDream поддерживает режим приема
управляющих команд и загрузку дополнительного кода с удаленного сервера, что не
исключает в будущем возможность создания управляемых ботнетов из пораженных
троянским ПО телефонов.
Тем временем, в блоге компании Symantec описан троян под именем
Android.Pjapps, который, судя по всему, аналогичен DroidDream. Android.Pjapps
прикрепляется к легитимным программам и обеспечивает функционирование скрытого
бэкдора, поддерживающего взаимодействие с управляющими серверами C&C (Command
and Control), используемыми для организации работы ботнетов. Для приема команд
Android.Pjapps периодически обращается к внешним C&C-серверам. Среди
поддерживаемых команд называются: установка приложения, открытие заданного сайта
(проведение DDoS-атак), управление закладками в браузере (фишинг), отправка SMS
(рассылка SMS-спама), скрытие определенных входящих SMS. Работа трояна
осуществляется в фоне и полностью скрыта от пользователя.
