Аналитики компании «Доктор Веб» рассказали об обнаружении трояна Android.RemoteCode.106.origin (далее RemoteCode) в девяти приложениях из официального каталога. Рекламный вредонос незаметно открывает на зараженных устройствах сайты, переходит по расположенным на них рекламным ссылкам и баннерам, а также накручивает посещаемость интернет-ресурсов. Кроме того, в теории троян может использоваться для проведения фишинговых атак и хищения конфиденциальной информации.
Исследователи обнаружили трояна в составе девяти программ, которые в общей сложности загрузили от 2 370 000 до более чем 11 700 000 раз. На момент публикации данного материала часть приложений уже была обновлена, и троян в них теперь отсутствует. Тем не менее, оставшиеся программы по-прежнему содержат вредоносный компонент и все еще представляют опасность. RemoteCode был найден в составе следующих приложений:
- Sweet Bakery Match 3 – Swap and Connect 3 Cakes версии0;
- Bible Trivia версии 1.8;
- Bible Trivia – FREE версии 2.4;
- Fast Cleaner light версии 1.0;
- Make Money 1.9;
- Band Game: Piano, Guitar, Drum версии47;
- Cartoon Racoon Match 3 - Robbery Gem Puzzle 2017 версии0.2;
- Easy Backup & Restore версии 4.9.15;
- Learn to Sing версии 1.2.
Исследователи отмечают, что малварь не проявляет интереса к новым и малоиспользуемым устройствам. Так, перед началом активности вредонос выполняет ряд проверок. Если на зараженном устройстве отсутствует определенное количество фотографий, контактов в телефонной книге и записей о звонках в журнале вызовов, малварь никак себя не проявляет (на устройстве должно быть не менее 10 фотографий, не менее 3 записей о звонках в журнале вызовов за последние 3 дня и не менее 10 контактов, имеющих телефонные номера). Если же устройство отвечает требованиям малвари, она отправляет запрос на управляющий сервер и пытается перейти по ссылке, полученной в ответном сообщении.
С управляющего сервера вредонос загружает список модулей, которые ему необходимо запустить. Один из них получил идентификатор Android.Click.200.origin. Этот модуль автоматически открывает в браузере веб-сайт, адрес которого ему передает командный центр. Эта функция может использоваться для накрутки счетчика посещений интернет-ресурсов, а также проведения фишинговых атак, если трояну поступит задание открыть мошенническую веб-страницу.
Второй модуль, получил идентификатор Android.Click.199.origin, и он обеспечивает работу третьего компонента, внесенного в вирусную базу «Доктор Веб» как Android.Click.201.origin. Основная задача Android.Click.199.origin – загрузка, запуск и обновление модуля Android.Click.201.origin.
Модуль Android.Click.201.origin, в свою очередь, после старта соединяется с управляющим сервером, от которого получает задания. В них указываются адреса веб-сайтов, которые малварь открывает в невидимом для пользователя окне WebView. После перехода по целевому адресу вредонос самостоятельно нажимает на указанный в команде рекламный баннер или случайный элемент открытой страницы. Эти действия повторяются до тех пор, пока не будет достигнуто заданное число нажатий.