«Доктор Веб» обнаружил в Google Play приложения с троянцем, которые скачали миллионы раз



Антивирус Dr.Web для Android


Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько приложений, в которые был встроен троянец, получивший название Android.RemoteCode.106.origin.

Эта вредоносная программа незаметно открывает веб-сайты, переходит по расположенным на них рекламным ссылкам и баннерам, а также накручивает посещаемость интернет-ресурсов. Кроме того, она может использоваться для проведения фишинг-атак и кражи конфиденциальной информации.

Специалисты «Доктор Веб» выявили Android.RemoteCode.106.origin в 9 программах, которые в общей сложности загрузили от 2 370 000 до более чем 11 700 000 пользователей. Троянец был найден в следующих приложениях:

- Sweet Bakery Match 3 – Swap and Connect 3 Cakes версии 3.0;
- Bible Trivia версии 1.8;
- Bible Trivia – FREE версии 2.4;
- Fast Cleaner light версии 1.0;
- Make Money 1.9;
- Band Game: Piano, Guitar, Drum версии 1.47;
- Cartoon Racoon Match 3 - Robbery Gem Puzzle 2017 версии 1.0.2;
- Easy Backup & Restore версии 4.9.15;
- Learn to Sing версии 1.2.

Перед началом вредоносной активности Android.RemoteCode.106.origin выполняет ряд проверок. Если на зараженном мобильном устройстве отсутствует определенное количество фотографий, контактов в телефонной книге и записей о звонках в журнале вызовов, троянец никак себя не проявляет. В случае же выполнения заданных условий он отправляет запрос на управляющий сервер и пытается перейти по ссылке, полученной в ответном сообщении. В случае успеха Android.RemoteCode.106.origin задействует свой основной функционал.

Троянец загружает с управляющего сервера список модулей, которые ему необходимо запустить. Один из них был добавлен в вирусную базу Dr.Web как Android.Click.200.origin. Он автоматически открывает в браузере веб-сайт, адрес которого ему передает командный центр. Эта функция может использоваться для накрутки счетчика посещений интернет-ресурсов, а также проведения фишинг-атак, если троянец получит задание открыть мошенническую веб-страницу.

Второй троянский модуль, получивший имя Android.Click.199.origin, обеспечивает работу третьего компонента, внесенного в вирусную базу как Android.Click.201.origin. Основная задача Android.Click.199.origin – загрузка, запуск и обновление модуля Android.Click.201.origin.

Android.Click.201.origin, в свою очередь, после старта соединяется с управляющим сервером, от которого получает задания. В них указываются адреса веб-сайтов, которые троянец затем открывает в невидимом для пользователя окне WebView. После перехода по одному из целевых адресов Android.Click.201.origin самостоятельно нажимает на указанный в команде рекламный баннер или случайный элемент открытой страницы. Он повторяет эти действия до тех пор, пока не достигнет заданного числа нажатий.

Таким образом, основное предназначение троянца Android.RemoteCode.106.origin – загрузка и запуск дополнительных вредоносных модулей, которые используются для накрутки счетчика посещений веб-сайтов, а также перехода по рекламным объявлениям, за что злоумышленники получают вознаграждение. Кроме того, вредоносная программа может использоваться для проведения фишинг-атак и кражи конфиденциальной информации.

Как отмечается в сообщении компании «Доктор Веб», антивирусные продукты Dr.Web для Android успешно детектируют все приложения, содержащие троянца Android.RemoteCode.106.origin, а также его вспомогательные модули.

Автор: Softodrom.ru
Дата: 13.11.2017


utrennik
utrennik, 14.11.2017 04:41
Пользователи, конечно, сами виноваты, что устанавливают приложения, требующие избыточные права. Это напоминает ситуацию с UAC в Windows: многие просто отключают эту функцию, потому что не хотят задумываться о безопасности. Но большая доля ответственности за сложившуюся ситуацию лежит на Гугле, котор...
» Прочитать остальные / Написать свой комментарий


Новости > Безопасность > «Доктор Веб» обнаружил в Google Play приложения с троянцем, которые скачали миллионы раз
Все рубрики статей:
Топ-сегодня: Безопасность
Уязвимость в Android поставила под угрозу 77% пользователей
Стремление компании Google, разработчика Android, облегчить жизнь программистам обернулось крупной уязвимостью операционной системы
Хакер из Красноярска осужден за атаку на сайт госорганов
Сторона обвинения доказала, что красноярец тщательно изучал хакерские программы и установил на свой компьютер файлы вредоносных компьютерных программ, предназначенных для нейтрализации средств защиты компьютерной информации
Почему Почта Mail.Ru не удаляет контакты?
Софтодром вновь решил поддержать отечественного производителя и перейти на использование безопасного почтового сервиса Mail.Ru, который, так же как и соцсети «ВКонтакте» и «Одноклассники», контролируется холдингом Mail.Ru Group
«Россия сегодня» продолжает отражать массированные DDoS-атаки
Показатели успешно отражаемой «Россией сегодня» атаки внушительны даже для современного мира сверхбыстрого интернета
40% Петербурга остались без электричества
В результате аварии на подстанции «Восточная» без электроэнергии остались около 40% Санкт-Петербурга
Новые статьи: Безопасность
Уязвимость в Android поставила под угрозу 77% пользователей
Стремление компании Google, разработчика Android, облегчить жизнь программистам обернулось крупной уязвимостью операционной системы
Хакер из Красноярска осужден за атаку на сайт госорганов
Сторона обвинения доказала, что красноярец тщательно изучал хакерские программы и установил на свой компьютер файлы вредоносных компьютерных программ, предназначенных для нейтрализации средств защиты компьютерной информации
Администратор выходного узла Tor Дмитрий Богатов прошел экспертизу на детекторе лжи
Находящийся под домашним арестом администратор выходного узла Tor Дмитрий Богатов прошел независимую экспертизу на детекторе лжи
Почему Почта Mail.Ru не удаляет контакты?
Софтодром вновь решил поддержать отечественного производителя и перейти на использование безопасного почтового сервиса Mail.Ru, который, так же как и соцсети «ВКонтакте» и «Одноклассники», контролируется холдингом Mail.Ru Group
Россию атакуют китайские хакеры
«Лаборатория Касперского» зафиксировала рост числа целевых атак, организованных китайскоговорящими хакерами

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2017 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».