Антивирусная компания Symantec предупреждает об обнаружении вредоносной программы Android.Counterclank в 13-ти популярных дистрибутивах из каталога Android Market.
Android.Counterclank является незначительной модификацией ранее известного трояна Android.Tonclank, который работает модифицирует стартовую страницу браузера и показывает рекламу через пуш-уведомления.
Исходя из совокупного объёма скачиваний всех этих дистрибутивов (от 1 до 5 млн раз), инфекцию Android.Counterclank можно считать крупнейшей в истории платформы Android, сообщает Symantec.
| Издатель | Заражённое приложение | Категория |
| iApps7 Inc | Counter Elite Force | Arcade & Action |
| iApps7 Inc | Counter Strike Ground Force | Arcade & Action |
| iApps7 Inc | CounterStrike Hit Enemy | Arcade & Action |
| iApps7 Inc | Heart Live Wallpaper | Entertainment |
| iApps7 Inc | Hit Counter Terrorist | Arcade & Action |
| iApps7 Inc | Stripper Touch girl | Entertainment |
| Ogre Games | Balloon Game | Sports Games |
| Ogre Games | Deal & Be Millionaire | Sports Games |
| Ogre Games | Wild Man | Arcade & Action |
| redmicapps | Pretty women lingerie puzzle | Photography |
| redmicapps | Sexy Girls Photo Game | Lifestyle |
| redmicapps | Sexy Girls Puzzle | Brain & Puzzle |
| redmicapps | Sexy Women Puzzle | Brain & Puzzle |
В состав всех перечисленных программ входит пакет apperhand, где и содержится вредоносный код. При его исполнении в списке сервисов на мобильном устройстве появляется одноимённый сервис. Ещё один признак заражения — появление иконки Search на экране (её внешний вид показан на скриншоте внизу).
Троян получил от Symantec «очень низкий» рейтинг уровня опасности. Для установки вредоносного ПО пользователь должен дать программе большое количество неочевидных разрешений (в том числе запуск вместе с загрузкой телефона, разрешение на установку ярлыков и проверку текущего состояния устройства), что сразу вызовет подозрение у любого пользователя. Вот список всех требуемых разрешений:
- Access information about networks
- Access information about the WiFi state
- Access location information, such as Cell-ID, GPS, or WiFi
- Allows access to install and uninstall shortcuts
- Allows access to read settings on the device
- Allows access to the list of accounts in the Accounts Service
- Check the phone's current state
- Make the phone vibrate
- Open network connections
- Prevent processor from sleeping or screen from dimming
- Read and write access of the user's browsing history and bookmarks
- Start once the device has finished booting
Специалисты скептически отнеслись к заявлению Symantec о «самой большой инфекции» и обращают внимание, что конкурирующие антивирусные фирмы не считают apperhand вредоносным ПО, а всего лишь частью агрессивной, но легальной, рекламной платформы. Это модифицированная версия рекламной сети ChoopCheec (Plankton SDK), которая ещё в июне 2011 вызвала широкие дискуссии по поводу того, считать её трояном или нет, учитывая крайне скрытное и агрессивное поведение.
В отличие от настоящих вредоносов, этот SDK хэширует IMEI-номер устройства при отправке на сервер, то есть пытается хоть как-то защитить приватность пользователя. Кроме того, рекламу через пуш-уведомления нельзя считать по-настоящему вредоносным поведением. Самое неприятное его действие — замена стартовой страницы браузера и добавление своих закладок, но это тоже с трудом тянет на действительно вредительскую деятельность.
Можно предположить, что громкие заголовки вроде «Вирус заразил 5 миллионов Android-телефонов» выгодны конкурентам Android.
