В официальном каталоге приложений Google Play вновь нашли малварь. На этот раз заражены более 60 игр, созданные более чем 30 разными разработчиками: Conexagon Studio, Fun Color Games, BILLAPPS и другими.
Угрозу заметили специалисты компании «Доктор Веб». Оказалось, игровые приложения заражены трояном Android.Xiny.19.origin. Основное предназначение вредоноса: загрузка, установка и запуск сторонних программ по команде хозяев. Кроме того, троян способен показывать навязчивую рекламу.
Как и во многих других случаях, все зараженные приложения, на первый взгляд, в полном порядке – они работают и предоставляют пользователю все заявленные в описании функции. Однако в безобидные игры заложен троян, который, к тому же, применяет в работе стеганографию.
Как только жертва установила вредоносное приложение, Android.Xiny.19.origin передает на сервер злоумышленников информацию об IMEI-идентификаторе и MAC-адресе зараженного устройства, версии и текущем языке ОС, наименовании мобильного оператора, доступности карты памяти, имени приложения, в которое встроен троян, а также информирует хозяина, находится ли соответствующая программа в системном каталоге.
По команде злоумышленников троян может загружать и динамически запускать произвольные apk-файлы. При этом данная функция реализована весьма интересным способом.
Android.Xiny.19.origin скачивает с удаленного сервера специально сформированное изображение, в котором с использованием стеганографии скрыт соответствующий файловый объект. При помощи специального алгоритма троян извлекает apk-файл, после чего с использованием класса DexClassLoader загружает его в память. Очевидно, авторам малвари показалось, что использование стеганографии в данном случае поможет скрыть вредоносную деятельность, ведь мало кого заинтересуют «безобидные картинки».
Android.Xiny.19.origin обладает и другими вредоносными функциями. В частности, может загружать и предлагать владельцу зараженного устройства установить различное ПО, а при наличии в системе root-доступа и вовсе инсталлировать и удалять приложения без ведома жертвы. Кроме того, программа способна отображать различную навязчивую рекламу.
Сообщается, что Android.Xiny.19.origin сам по себе пока не умеет получать root-привилегии в системе. Но ничто не мешает злоумышленникам отдать трояну команду на загрузку набора эксплойтов, который уже вполне способен справиться с этой задачей.
Фото: "Доктор Веб"
