В официальном каталоге приложений Google Play вновь нашли малварь. На этот раз заражены более 60 игр, созданные более чем 30 разными разработчиками: Conexagon Studio, Fun Color Games, BILLAPPS и другими.

Угрозу заметили специалисты компании «Доктор Веб». Оказалось, игровые приложения заражены трояном Android.Xiny.19.origin. Основное предназначение вредоноса: загрузка, установка и запуск сторонних программ по команде хозяев. Кроме того, троян способен показывать навязчивую рекламу.

Как и во многих других случаях, все зараженные приложения, на первый взгляд, в полном порядке – они работают и предоставляют пользователю все заявленные в описании функции. Однако в безобидные игры заложен троян, который, к тому же, применяет в работе стеганографию.

android_xiny_19_01

Как только жертва установила вредоносное приложение, Android.Xiny.19.origin передает на сервер злоумышленников информацию об IMEI-идентификаторе и MAC-адресе зараженного устройства, версии и текущем языке ОС, наименовании мобильного оператора, доступности карты памяти, имени приложения, в которое встроен троян, а также информирует хозяина, находится ли соответствующая программа в системном каталоге.

По команде злоумышленников троян может загружать и динамически запускать произвольные apk-файлы. При этом данная функция реализована весьма интересным способом.

Android.Xiny.19.origin скачивает с удаленного сервера специально сформированное изображение, в котором с использованием стеганографии скрыт соответствующий файловый объект. При помощи специального алгоритма троян извлекает apk-файл, после чего с использованием класса DexClassLoader загружает его в память. Очевидно, авторам малвари показалось, что использование стеганографии в данном случае поможет скрыть вредоносную деятельность, ведь мало кого заинтересуют «безобидные картинки».

Android.Xiny.19.origin обладает и другими вредоносными функциями. В частности, может загружать и предлагать владельцу зараженного устройства установить различное ПО, а при наличии в системе root-доступа и вовсе инсталлировать и удалять приложения без ведома жертвы. Кроме того, программа способна отображать различную навязчивую рекламу.

Сообщается, что Android.Xiny.19.origin сам по себе пока не умеет получать root-привилегии в системе. Но ничто не мешает злоумышленникам отдать трояну команду на загрузку набора эксплойтов, который уже вполне способен справиться с этой задачей.

Фото: «Доктор Веб»



Оставить мнение