Специалисты компании «Доктор Веб» обнаружили необычную малварь Android.Slicer. Основной отличительной особенностью данного вредоноса является то, что он способен покупать и устанавливать приложения из официального каталога Google Play.

На первый взгляд троян, получившийся идентификатор Android.Slicer.1.origin, не представляет собой ничего особенного. Малварь неплохо маскируется и обладает функциями, характерными для популярных сервисных утилит и программ-оптимизаторов. В частности, троянец умеет показывать информацию об использовании оперативной памяти и «очищать» ее, завершая работу активных процессов, а также позволяет включать и отключать беспроводные модули Wi-Fi и Bluetooth. Однако приложение не имеет собственного ярлыка,  так что пользователь не может запустить его самостоятельно.

Основная задача малвари, это, конечно, не очистка памяти, а показ навязчивой рекламы. Через некоторое время после запуска, а также при включении или отключении экрана и Wi-Fi-модуля Android.Slicer передает на управляющий сервер информацию об IMEI-идентификаторе зараженного смартфона или планшета, MAC-адресе Wi-Fi-адаптера, наименовании производителя мобильного устройства и версии операционной системы. В ответ троян  получает задания, к примеру, добавить ярлык на домашний экран ОС, показать рекламный баннер, открыть ссылку в браузере или в каталоге Google Play.

Исследователи пишут, что Android.Slicer может не просто открывать заданные разделы Google Play, тем самым рекламируя какие-то приложения, малварь также умеет самостоятельно устанавливать соответствующие программы, в том числе платные.

Для этих целей вредонос использует другого трояна: аналог утилиты su для работы с root-привилегиями, детектируемый как Android.Rootkit.40. Когда эта программа присутствует в системном разделе /system/bin, Android.Slicer способен автоматически покупать и загружать приложения из Google Play.

Всё происходит так: Android.Slicer открывает раздел приложения в каталоге, используя Android.Rootkit.40, и от имени root запускает стандартную системную утилиту uiautomator. С ее помощью вредонос получает информацию обо всех окнах и элементах управления, видимых на экране в данный момент. Затем малварь ищет сведения о кнопках с идентификатором com.android.vending:id/buy_button (кнопки «Купить» и «Установить») и com.android.vending:id/continue_button (кнопка «Продолжить»). Обнаружив координаты середины соответствующих кнопок, троян «нажимает» на них, пока элементы управления с необходимыми идентификаторами доступны на экране. Таким образом, Android.Slicer может автоматически покупать платные, а также загружать бесплатные версии заданных злоумышленниками приложений без ведома пользователя.

При этом специалисты «Доктор Веб» отмечают, что возможности вредоноса вовсе небезграничны. Дело в том, что идентификаторы кнопок, которые использует Android.Slicer, представлены только в  Android версии 4.3 и выше. К тому же, Android.Rootkit.40 не может работать на устройствах с активным SELinux, то есть в Android версии 4.4 и выше. Получается, что Android.Slicer опасен только для устройств, работающих под управлением Android 4.3.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии