Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца, который показывает надоедливую рекламу, а также крадет различную конфиденциальную информацию. Эта вредоносная программа встроена в более чем 150 приложений, которые в общей сложности загрузило не менее 2 800 000 пользователей.
Троянец, получивший имя Android.Spy.305.origin, представляет собой очередную рекламную платформу (SDK), которую создатели ПО используют для монетизации приложений. Специалисты компании «Доктор Веб» выявили как минимум семь разработчиков, встроивших Android.Spy.305.origin в свои программы и распространяющих их через каталог Google Play. Среди них — разработчики MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps и Mothrr Mobile Apps.
Среди приложений, в которых был найден троянец, встречаются «живые обои», сборники изображений, утилиты, ПО для работы с фотографиями, прослушивания интернет-радио и т. п. На данный момент вирусные аналитики «Доктор Веб» выявили 155 таких программ, суммарное число загрузок которых превысило 2 800 000. Компания Google получила информацию об этих приложениях, однако многие из них все еще доступны для загрузки,
При запуске программ, в которых находится троянец, Android.Spy.305.origin соединяется с управляющим сервером, откуда получает команду на загрузку вспомогательного модуля, детектируемого как Android.Spy.306.origin. Этот компонент содержит основной вредоносный функционал, который Android.Spy.305.origin использует при помощи класса DexClassLoader.
После этого троянец передает на сервер следующие данные:
адрес электронной почты, привязанный к пользовательской учетной записи Google;
список установленных приложений;
текущий язык операционной системы;
наименование производителя мобильного устройства;
наименование модели мобильного устройства;
IMEI-идентификатор;
версию операционной системы;
разрешение экрана;
название мобильного оператора;
имя приложения, в котором содержится троянец;
идентификатор разработчика приложения;
версию троянского рекламного SDK.
Далее Android.Spy.305.origin приступает к выполнению основных функций, а именно показу навязчивой рекламы. Троянец может выводить поверх интерфейса работающих приложений и операционной системы различные рекламные баннеры, в том числе с видеороликами. Кроме того, он способен размещать сообщения в панели уведомлений, например, предлагая скачать то или иное ПО и даже пугая пользователя якобы обнаруженными вредоносными программами.
Ниже представлен список ПО, в котором был обнаружен Android.Spy.305.origin:
com.greenapp.slowmotion
com.maxmitek.livewallpapernight
com.asem.contactfilter
com.allinOne.openquickly
com.dorilradio.pe
com.fusianart.takescreenshots
com.maxmitek.livewallpapergod
com.gigmobile.booster
com.mobilescreen.recorder
com.mobilescreen.capture
com.fattys.automaticcallrecording
com.maxmitek.livewallpaperbutterfly
com.lollicontact.caller
com.fusianart.doubletapscreen
com.maxmitek.livewallpaperrain
com.dorilradio.ru
com.appworks.browser
com.maxmitek.livewallpaperwinter
com.sgfatty.videoplayerpro
com.trueapppower.battery
com.fattystudiocontacts.bassbooster
com.mobiletool.rootchecker
com.magicapp.reversevideo
com.maxmitek.livewallpaperchristmas
com.live3d.wallpaperlite
com.maxmitek.flowerwallpaper
com.maxmitek.livewallpaperaquariumfishfish
com.maxmitek.nightwallpapers
com.vmh.crackyourscreen
com.nicewallpaper.s6wallpaper
com.maxmitek.sunsetwallpaper
com.nicewallpaper.supercar
com.maxmitek.lovewallpaper
com.maxmitek.livewallpaperdolphins
com.nicewallpaper.beautigirl
com.maxmitek.beachwallpaper
com.maxmitek.livewallpapernewyear
com.maxmitek.livewallpapergalaxy
com.maxmitek.livewallpaper3d
com.maxmitek.livewallpaperwaterfall
com.maxmitek.wallpaperhalloween
com.maxmitek.catwallpaper
com.fattysgui.beautyfont
com.fattystudioringtone.mp3cutter
com.fattystudio.convertertomp3
com.fattystudio.pictureeditor
com.gig.wifidoctor
com.minibackup.contacttranfer
com.greenapp.voicerecorder
com.glade.batterysaver
com.beatstudio.awcapture
com.mothrrmobile.volume
com.trueapplab.fastlauncher
net.camspecial.clonecamera
com.sunny.text2photo
com.converttool.videomp3
com.foto.proeditor
com.appworks.djmixonline
com.appworksui.myfonts
com.appworks.crackyourscreen
com.appworkscontact.instadownloader
com.rartool.superextract
com.easytool.screenoff
net.electronic.alarmclock
com.finchpeach.heartrate
com.finchpeach.weatherpro
net.dotcom.cpuinfo
com.finchpeach.wifihotspotfree
net.brscreen.filter
com.evin.translator
com.dorilradio.ua
com.dorilradio.ir
com.dorilradio.pk
com.dorilradio.sm
com.dorilradio.me
com.dorilradio.sv
com.dorilradio.sr
com.dorilradio.sk
com.dorilradio.sl
com.dorilradio.sg
com.dorilradio.py
com.dorilradio.pr
com.dorilradio.pa
com.dorilradio.mc
com.dorilradio.lu
com.dorilradio.lt
com.dorilradio.lv
com.dorilradio.li
com.dorilradio.de
com.dorilradio.kr
com.dorilradio.is
com.dorilradio.il
com.dorilradio.hn
com.dorilradio.ht
com.dorilradio.gh
com.dorilradio.hn
com.dorilradio.ht
com.dorilradio.gh
com.dorilradio.ec
com.dorilradio.fi
com.dorilradio.doo
com.dorilradio.cz
com.dorilradio.cy
com.dorilradio.cr
com.dorilradio.bo
com.dorilradio.th
com.dorilradio.br
com.dorilradio.gr
com.dorilradio.es
com.dorilradio.nl
com.dorilradio.be
com.dorilradio.id
com.dorilradio.pl
com.dorilradio.tr
com.dorilradio.mx
com.dorilradio.gt
com.dorilradio.hu
com.dorilradio.nz
com.dorilradio.pt
com.dorilradio.ch
com.dorilradio.ro
com.dorilradio.rs
com.dorilradio.eg
com.dorilradio.lk
com.dorilradio.my
com.dorilradio.tn
com.dorilradio.tw
com.dorilradio.no
com.dorilradio.za
com.dorilradio.ba
com.dorilradio.bg
com.dorilradio.hr
com.dorilradio.dk
com.dorilradio.in
com.dorilradio.ie
com.dorilradio.ph
com.dorilradio.ar
com.dorilradio.cl
com.dorilradio.co
com.dorilradio.ve
com.dorilradio.sn
com.dorilradio.uy
com.dorilradio.ma
com.dorilradio.se
com.dorilradio.ng
com.dorilradio.dz
com.dorilradio.ke
com.dorilradio.it
com.dorilradio.cn
com.dorilradio.ca
com.dorilradio.jp
com.dorilradio.fr
com.dorilradio.au
com.dorilradio.uk
com.dorilradio.us
Несмотря на то что каталог Google Play является самым надежным источником приложений для Android-смартфонов и планшетов, в него также могут проникать и различные вредоносные и нежелательные программы.
Разработчики Google реализовали новые функции безопасности, основная задача которых — помочь организациям защититься от атак программ-вымогателей, распространяемых с помощью электронной почты.
Речь идет о новой песочнице, которая возьмет на себя борьбу с вредоносными вложениями и встроенными злонамеренным скриптами. Таким образом, если пользователь запустит вложение, Google сможет проанализировать его поведение.
Такая схема поможет выявлять даже неизвестные на данный момент киберугрозы. В Google заявили, что пользователи G Suite уже могут проверить работу нового слоя защиты.
Как утверждается в блоге Google, администраторы G Suite смогут настроить правила, которые определят, какие письма пропускать через песочницу. Корпоративные клиенты в ближайшие недели получат возможность протестировать нововведение.
Помимо этого, клиенты получат новую «продвинутую защиту от фишинга и вредоносных программ» по умолчанию. Админы смогут перенаправлять фишинговые и просто вредоносные письма в карантин, анализировать вложения и выводить предупреждения пользователям.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
