В каталоге Google Play вновь нашли приложение со встроенным трояном-загрузчиком. Вредонос получил идентификатор Android.DownLoader.558.origin и был встроен в популярную игру BlazBlue, которую загрузили более 1 000 000 пользователей. Это вредоносное приложение способно без ведома пользователей загружать, устанавливать и запускать другое ПО.
Специалисты «Доктор Веб» пишут, что троян является частью SDK под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ. В отличие от стандартной процедуры обновления, когда старая версия приложения полностью заменяется новой, этот SDK позволяет загружать необходимые компоненты по отдельности, без переустановки всего программного пакета. Это дает разработчикам возможность поддерживать версию установленного на мобильных устройствах ПО в актуальном состоянии, даже если пользователи самостоятельно не следят за выходом новых версий. Однако, по мнению исследоваталей, платформа Excelliance работает как троян-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play и представляет опасность.
Троян начинает работу при первом старте программы или игры, в которую он встроен. После этого он самостоятельно загружается при каждом подключении мобильного устройства к интернету, даже если пользователь более не запускает зараженное приложение.
Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек сервера в ответ малварь может получить команду на загрузку того или иного программного компонента. Например, в случае с игрой BlazBlue модуль предлагает скачать недостающие файлы, а также обновления, если они доступны.
Помимо дополнительных ресурсов и обновлений Android.DownLoader.558.origin способен загружать отдельные apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. Например, исполнение кода загруженных dex-файлов происходит автоматически и не требует каких-либо действий со стороны владельца устройства.
При установке загружаемых apk-файлов пользователь видит стандартное диалоговое окно, однако при наличии root-доступа троян может устанавливать их незаметно. В этом и заключается главная опасность SDK Excelliance. Его авторы в любой момент могут отдать команду на загрузку объектов, никак не связанных с основным приложением: рекламных модулей, сторонних программ и даже другой малвари, и все это может быть скачано в обход каталога Google Play и запущено без разрешения.
Специалисты «Доктор Веб» уже уведомили сотрудников Google об опасном поведении троянского компонента в SDK, однако на момент написания этого материала игра BlazBlue со встроенным трояном все еще была доступна для скачивания.