В последнее время малварь регулярно находят в официальных каталогах приложений, так что вряд ли сам факт обнаружения очередного вредоноса в Google Play кого-то удивит. Однако не каждая малварь может похвастаться такими масштабами, как троянец Android.Spy.305.origin, обнаруженный специалистами «Доктор Веб». Вредонос скрывался в 155 приложениях и суммарно был установлен без малого три миллиона раз.
Эксперты пишут, что Android.Spy.305.origin, является очередной рекламной платформой, которую злоумышленники используют для монетизации приложений. Удалось выявить как минимум семь разработчиков, встроивших Android.Spy.305.origin в свои приложения и распространяющих их через каталог Google Play. Среди них: MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps и Mothrr Mobile Apps.
Троян был замечен в составе самых разных приложений, начиная от живых обоев, и заканчивая сборниками различных изображений, утилитами, ПО работы с фотографиями, плееров для прослушивания интернет-радио и так далее.
Попав на устройство, малварь связывается с управляющим сервером и получает ссылку на скачивание дополнительного модуля Android.Spy.306.origin. Данный компонент содержит основную вредоносную функциональность, который Android.Spy.305.origin пользуется при помощи класса DexClassLoader. После загрузки модуля троян отправляет на командный сервер исчерпывающую информацию о зараженном устройстве, в том числе email-адрес, привязанный к пользовательской учетной записи Google, список установленных на устройстве приложений, подробные сведения об ОС, мобильном операторе, IMEI-идентификатор девайса и так далее.
Затем вредонос переходит к своей основной деятельности: начинает показывать навязчивую рекламу. Различные баннеры (в том числе с видеороликами) могут появляться поверх интерфейса работающих приложений и операционной системы. Кроме того, троян может размещать сообщения в панели уведомлений, например, предлагая скачать то или иное ПО и даже пугая пользователя якобы обнаруженными вредоносными программами.
Специалисты «Доктор Веб» предупреждают, что хотя компания Google уже получила информацию о зараженных приложениях, многие из них все еще доступны для загрузки. Полный список программ, содержащих малварь, доступен на сайте «Доктор Веб».
Так как безопасным в наши дни нельзя считать даже официальный каталог Google Play, эксперты советуют внимательно читать отзывы о приложениях перед их установкой, а лучше вообще не скачивать ПО от неизвестных разработчиков.
