Специалисты компании «Доктор Веб» сообщили, что в официальном каталоге Google Play вновь была обнаружена малварь. Троян получил идентификатор Android.MulDrop.924 и применяется для установки на зараженное устройство дополнительного ПО, а также показывает навязчивую рекламу. Помимо Google Play, MulDrop распространяется и через сайты-сборники ПО.
Троян маскировался под приложение Multiple Accounts: 2 Accounts, которое было скачано более 1 000 000 раз и предлагает своим пользователям одновременно использовать несколько учетных записей в играх и другом ПО, установленном на мобильном устройстве. Хотя заявленная функциональность действительно присутствует, помимо нее в коде приложения также сокрыт «сюрприз» в виде трояна MulDrop.
Исследователи пишут, что вредонос имеет необычную модульную архитектуру. Часть ее функциональности расположена в двух вспомогательных программных модулях, которые зашифрованы и спрятаны внутри PNG-изображения, расположенного в каталоге ресурсов MulDrop.
Во время запуска троян извлекает и копирует эти модули в свою локальную директорию в разделе /data, после чего загружает их в память. Один из этих компонентов, помимо безобидных функций, содержит несколько рекламных плагинов, которые операторы малвари используют для получения прибыли. Среди них – троянский модуль Android.DownLoader.451.origin, который без разрешения пользователя скачивает игры и другие приложения, а также предлагает установить их. Он же отвечает за демонстрацию навязчивой рекламы на панели уведомлений.
Эксперты также обнаружили одну из модификаций трояна в более старой версии Multiple Accounts: 2 Accounts. Приложение было подписано сторонним сертификатом и наряду с вредоносным модулем Android.DownLoader.451.origin содержало дополнительный троянский плагин Android.Triada.99, который скачивает эксплоиты, чтобы получить на зараженном устройстве root-права, а также способен незаметно загружать и устанавливать дополнительное ПО. Специалисты «Доктор Веб» предполагают, что использование стороннего сертификата может сигнализировать о том, что новую версию MulDrop модифицировала и распространяет другая группа вирусописателей, никак не связанная с создателями оригинального приложения.
