Троян внедряется в Play Маркет и скачивает программы из Google Play

Троян внедряется в Play Маркет и скачивает программы из Google Play

Среди множества Android-троянцев широкое распространение получили вредоносные программы, которые незаметно загружают ПО на мобильные устройства. С их помощью злоумышленники получают вознаграждение за каждое успешное скачивание или установку того или иного приложения.

Один из таких троянцев, которого обнаружили вирусные аналитики компании «Доктор Веб», внедряется в активный процесс программы Play Маркет и незаметно накручивает счетчик установок в каталоге Google Play.

Android.Skyfin.1.origin предположительно попадает на мобильные устройства благодаря некоторым троянцам семейства Android.DownLoader (например, Android.DownLoader.252.origin и Android.DownLoader.255.origin), которые после заражения смартфонов и планшетов пытаются получить root-доступ и скрытно устанавливают вредоносные программы в системный каталог. Код этих троянцев содержит характерные для Android.Skyfin.1.origin строки, поэтому с большой долей вероятности можно говорить о том, что распространением Android.Skyfin.1.origin занимаются именно указанные вредоносные приложения, пишет drweb.ru.

При запуске Android.Skyfin.1.origin внедряет в процесс программы Play Маркет вспомогательный троянский модуль, получивший имя Android.Skyfin.2.origin. Он крадет уникальный идентификатор мобильного устройства и учетной записи его владельца, которые используются при работе с сервисами компании Google, различные внутренние коды авторизации для подключения к каталогу Google Play и другие конфиденциальные данные. Затем модуль передает эти сведения основному компоненту троянца Android.Skyfin.1.origin, после чего тот вместе с технической информацией об устройстве отправляет их на управляющий сервер.

Используя собранные данные, Android.Skyfin.1.origin подключается к каталогу Google Play и имитирует работу приложения Play Маркет. Троянец может выполнять следующие запросы:

  • /search – поиск в каталоге для симуляции последовательности действий пользователя;
  • /purchase – запрос на покупку программ;
  • /commitPurchase – подтверждение покупки;
  • /acceptTos – подтверждение согласия с условиями лицензионного соглашения;
  • /delivery – запрос ссылки для скачивания apk-файла из каталога;
  • /addReview /deleteReview /rateReview – добавление, удаление и оценка отзывов;
  • /log – подтверждение скачивания программы, которое используется для накручивания счетчика установок.

После скачивания заданного злоумышленниками приложения Android.Skyfin.1.origin не устанавливает его, а лишь сохраняет на карту памяти, поэтому пользователь не видит новые программы, возникшие из ниоткуда. В результате троянец увеличивает свои шансы остаться незамеченным и может продолжать накручивать счетчик установок, искусственно повышая популярность приложений в Google Play.

Вирусные аналитики компании «Доктор Веб» выявили несколько модификаций Android.Skyfin.1.origin. Одна из них умеет скачивать из каталога Google Play единственное приложение – com.op.blinkingcamera. Троянец имитирует нажатие на баннер Google AdMob с рекламой этой программы, загружает ее apk-файл и автоматически увеличивает число загрузок, подтверждая «установку» на сервере Google. Другая модификация Android.Skyfin.1.origin более универсальна. Она может скачивать любые приложения из каталога – для этого троянец получает от злоумышленников список программ для загрузки.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Любая версия Android поможет атакующему выследить пользователя

Очередная уязвимость обнаружена на устройствах под управлением операционной системы Android. Как сообщили исследователи Nightwatch Cybersecurity, брешь позволяет злоумышленникам следить за перемещением пользователей смартфонов и планшетов.

Проблема безопасности получила идентификатор CVE-2018-9581, она затрагивает показатель уровня принимаемого сигнала (или RSSI). RSSI отвечает за измерение уровня сигнала сети и передачу этой информации другим программам.

Благодаря уязвимости в системе сторонние приложения (например, вредоносные) могут свободно получить всю необходимую информацию о сигнале. Это поможет определить, в какой точке находится пользователь атакуемого устройства относительно маршрутизатора.

Эксперты протестировали следующие устройства: Pixel 2, Nexus 6P, Moto G4, Kindle Fire HD (8 gen). В Nightwatch Cybersecurity утверждают, что это уязвимости подвержены все версии Android.

С полной версией исследования можно ознакомиться по этой ссылке.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru