Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play троянца, который показывает надоедливую рекламу, а также крадет различную конфиденциальную информацию. Эта вредоносная программа встроена в более чем 150 приложений, которые в общей сложности загрузило не менее 2 800 000 пользователей.
Троянец, получивший имя Android.Spy.305.origin, представляет собой очередную рекламную платформу (SDK), которую создатели ПО используют для монетизации приложений. Специалисты компании «Доктор Веб» выявили как минимум семь разработчиков, встроивших Android.Spy.305.origin в свои программы и распространяющих их через каталог Google Play. Среди них — разработчики MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps и Mothrr Mobile Apps.
Среди приложений, в которых был найден троянец, встречаются «живые обои», сборники изображений, утилиты, ПО для работы с фотографиями, прослушивания интернет-радио и т. п. На данный момент вирусные аналитики «Доктор Веб» выявили 155 таких программ, суммарное число загрузок которых превысило 2 800 000. Компания Google получила информацию об этих приложениях, однако многие из них все еще доступны для загрузки,
При запуске программ, в которых находится троянец, Android.Spy.305.origin соединяется с управляющим сервером, откуда получает команду на загрузку вспомогательного модуля, детектируемого как Android.Spy.306.origin. Этот компонент содержит основной вредоносный функционал, который Android.Spy.305.origin использует при помощи класса DexClassLoader.
После этого троянец передает на сервер следующие данные:
адрес электронной почты, привязанный к пользовательской учетной записи Google;
список установленных приложений;
текущий язык операционной системы;
наименование производителя мобильного устройства;
наименование модели мобильного устройства;
IMEI-идентификатор;
версию операционной системы;
разрешение экрана;
название мобильного оператора;
имя приложения, в котором содержится троянец;
идентификатор разработчика приложения;
версию троянского рекламного SDK.
Далее Android.Spy.305.origin приступает к выполнению основных функций, а именно показу навязчивой рекламы. Троянец может выводить поверх интерфейса работающих приложений и операционной системы различные рекламные баннеры, в том числе с видеороликами. Кроме того, он способен размещать сообщения в панели уведомлений, например, предлагая скачать то или иное ПО и даже пугая пользователя якобы обнаруженными вредоносными программами.
Ниже представлен список ПО, в котором был обнаружен Android.Spy.305.origin:
com.greenapp.slowmotion
com.maxmitek.livewallpapernight
com.asem.contactfilter
com.allinOne.openquickly
com.dorilradio.pe
com.fusianart.takescreenshots
com.maxmitek.livewallpapergod
com.gigmobile.booster
com.mobilescreen.recorder
com.mobilescreen.capture
com.fattys.automaticcallrecording
com.maxmitek.livewallpaperbutterfly
com.lollicontact.caller
com.fusianart.doubletapscreen
com.maxmitek.livewallpaperrain
com.dorilradio.ru
com.appworks.browser
com.maxmitek.livewallpaperwinter
com.sgfatty.videoplayerpro
com.trueapppower.battery
com.fattystudiocontacts.bassbooster
com.mobiletool.rootchecker
com.magicapp.reversevideo
com.maxmitek.livewallpaperchristmas
com.live3d.wallpaperlite
com.maxmitek.flowerwallpaper
com.maxmitek.livewallpaperaquariumfishfish
com.maxmitek.nightwallpapers
com.vmh.crackyourscreen
com.nicewallpaper.s6wallpaper
com.maxmitek.sunsetwallpaper
com.nicewallpaper.supercar
com.maxmitek.lovewallpaper
com.maxmitek.livewallpaperdolphins
com.nicewallpaper.beautigirl
com.maxmitek.beachwallpaper
com.maxmitek.livewallpapernewyear
com.maxmitek.livewallpapergalaxy
com.maxmitek.livewallpaper3d
com.maxmitek.livewallpaperwaterfall
com.maxmitek.wallpaperhalloween
com.maxmitek.catwallpaper
com.fattysgui.beautyfont
com.fattystudioringtone.mp3cutter
com.fattystudio.convertertomp3
com.fattystudio.pictureeditor
com.gig.wifidoctor
com.minibackup.contacttranfer
com.greenapp.voicerecorder
com.glade.batterysaver
com.beatstudio.awcapture
com.mothrrmobile.volume
com.trueapplab.fastlauncher
net.camspecial.clonecamera
com.sunny.text2photo
com.converttool.videomp3
com.foto.proeditor
com.appworks.djmixonline
com.appworksui.myfonts
com.appworks.crackyourscreen
com.appworkscontact.instadownloader
com.rartool.superextract
com.easytool.screenoff
net.electronic.alarmclock
com.finchpeach.heartrate
com.finchpeach.weatherpro
net.dotcom.cpuinfo
com.finchpeach.wifihotspotfree
net.brscreen.filter
com.evin.translator
com.dorilradio.ua
com.dorilradio.ir
com.dorilradio.pk
com.dorilradio.sm
com.dorilradio.me
com.dorilradio.sv
com.dorilradio.sr
com.dorilradio.sk
com.dorilradio.sl
com.dorilradio.sg
com.dorilradio.py
com.dorilradio.pr
com.dorilradio.pa
com.dorilradio.mc
com.dorilradio.lu
com.dorilradio.lt
com.dorilradio.lv
com.dorilradio.li
com.dorilradio.de
com.dorilradio.kr
com.dorilradio.is
com.dorilradio.il
com.dorilradio.hn
com.dorilradio.ht
com.dorilradio.gh
com.dorilradio.hn
com.dorilradio.ht
com.dorilradio.gh
com.dorilradio.ec
com.dorilradio.fi
com.dorilradio.doo
com.dorilradio.cz
com.dorilradio.cy
com.dorilradio.cr
com.dorilradio.bo
com.dorilradio.th
com.dorilradio.br
com.dorilradio.gr
com.dorilradio.es
com.dorilradio.nl
com.dorilradio.be
com.dorilradio.id
com.dorilradio.pl
com.dorilradio.tr
com.dorilradio.mx
com.dorilradio.gt
com.dorilradio.hu
com.dorilradio.nz
com.dorilradio.pt
com.dorilradio.ch
com.dorilradio.ro
com.dorilradio.rs
com.dorilradio.eg
com.dorilradio.lk
com.dorilradio.my
com.dorilradio.tn
com.dorilradio.tw
com.dorilradio.no
com.dorilradio.za
com.dorilradio.ba
com.dorilradio.bg
com.dorilradio.hr
com.dorilradio.dk
com.dorilradio.in
com.dorilradio.ie
com.dorilradio.ph
com.dorilradio.ar
com.dorilradio.cl
com.dorilradio.co
com.dorilradio.ve
com.dorilradio.sn
com.dorilradio.uy
com.dorilradio.ma
com.dorilradio.se
com.dorilradio.ng
com.dorilradio.dz
com.dorilradio.ke
com.dorilradio.it
com.dorilradio.cn
com.dorilradio.ca
com.dorilradio.jp
com.dorilradio.fr
com.dorilradio.au
com.dorilradio.uk
com.dorilradio.us
Несмотря на то что каталог Google Play является самым надежным источником приложений для Android-смартфонов и планшетов, в него также могут проникать и различные вредоносные и нежелательные программы.
По данным «Лаборатории Касперского», в I квартале 2024 года атакам подверглись свыше 19 млн российских пользователей Android-устройств — в 5,2 раза больше, чем годом ранее.
Рост вредоносной активности, по мнению экспертов, связан с расширением использования сторонних источников софта: многие ходовые приложения исчезли из Google Play.
Наиболее часто на смартфонах детектировались модульный загрузчик Dwphon и банковский троян Mamont. Первый зловред собирает и сливает на сторону информацию о зараженном устройстве и личные данные владельца, второй ворует платежные данные и СМС с кодами подтверждения транзакций.
Распространители Android-вредоносов обычно выдают их за легитимный софт или пиратскую копию, а для раздачи создают поддельные сайты. С подобными фейками можно также столкнуться в неофициальных магазинах приложений — вроде APKPure; иногда вирусописателям удается протащить их в Google Play. Предустановка, как в случае с Dwphon, встречается гораздо реже и обычно на дешевых OEM-гаджетах.
По данным Statcounter, в настоящее время на долю Android приходится 30,29% российского рынка ОС. По популярности она занимает второе место — после Windows (49,14%). Вместе с тем экосистема Android по-прежнему фрагментарна, и обновления с патчами и новыми защитными функциями получают далеко не все пользователи.
Удаление из магазина Google приложений подсанкционных российских компаний провоцирует появление вредоносных и потенциально опасных подделок. Пользователям рекомендуется при скачивании вначале удостовериться, что софт действительно связан с заявленной организацией.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
