Троян для Android покупает приложения в Google Play

Специалисты компании «Доктор Веб» обнаружили необычную малварь Android.Slicer. Основной отличительной особенностью данного вредоноса является то, что он способен покупать и устанавливать приложения из официального каталога Google Play.

На первый взгляд троян, получившийся идентификатор Android.Slicer.1.origin, не представляет собой ничего особенного. Малварь неплохо маскируется и обладает функциями, характерными для популярных сервисных утилит и программ-оптимизаторов. В частности, троянец умеет показывать информацию об использовании оперативной памяти и «очищать» ее, завершая работу активных процессов, а также позволяет включать и отключать беспроводные модули Wi-Fi и Bluetooth. Однако приложение не имеет собственного ярлыка,  так что пользователь не может запустить его самостоятельно.

Основная задача малвари, это, конечно, не очистка памяти, а показ навязчивой рекламы. Через некоторое время после запуска, а также при включении или отключении экрана и Wi-Fi-модуля Android.Slicer передает на управляющий сервер информацию об IMEI-идентификаторе зараженного смартфона или планшета, MAC-адресе Wi-Fi-адаптера, наименовании производителя мобильного устройства и версии операционной системы. В ответ троян  получает задания, к примеру, добавить ярлык на домашний экран ОС, показать рекламный баннер, открыть ссылку в браузере или в каталоге Google Play.

Исследователи пишут, что Android.Slicer может не просто открывать заданные разделы Google Play, тем самым рекламируя какие-то приложения, малварь также умеет самостоятельно устанавливать соответствующие программы, в том числе платные.

Для этих целей вредонос использует другого трояна: аналог утилиты su для работы с root-привилегиями, детектируемый как Android.Rootkit.40. Когда эта программа присутствует в системном разделе /system/bin, Android.Slicer способен автоматически покупать и загружать приложения из Google Play.

Всё происходит так: Android.Slicer открывает раздел приложения в каталоге, используя Android.Rootkit.40, и от имени root запускает стандартную системную утилиту uiautomator. С ее помощью вредонос получает информацию обо всех окнах и элементах управления, видимых на экране в данный момент. Затем малварь ищет сведения о кнопках с идентификатором com.android.vending:id/buy_button (кнопки «Купить» и «Установить») и com.android.vending:id/continue_button (кнопка «Продолжить»). Обнаружив координаты середины соответствующих кнопок, троян «нажимает» на них, пока элементы управления с необходимыми идентификаторами доступны на экране. Таким образом, Android.Slicer может автоматически покупать платные, а также загружать бесплатные версии заданных злоумышленниками приложений без ведома пользователя.

При этом специалисты «Доктор Веб» отмечают, что возможности вредоноса вовсе небезграничны. Дело в том, что идентификаторы кнопок, которые использует Android.Slicer, представлены только в  Android версии 4.3 и выше. К тому же, Android.Rootkit.40 не может работать на устройствах с активным SELinux, то есть в Android версии 4.4 и выше. Получается, что Android.Slicer опасен только для устройств, работающих под управлением Android 4.3.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)

  • Не исключено, что автор программы переключит своё внимание на Lollipop 5.1.1;Marshmallow 6.0.1 и Nougat 7.0