«Доктор Веб» обнаружил в Google Play приложения с троянцем, которые скачали миллионы раз



Антивирус Dr.Web для Android


Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько приложений, в которые был встроен троянец, получивший название Android.RemoteCode.106.origin.

Эта вредоносная программа незаметно открывает веб-сайты, переходит по расположенным на них рекламным ссылкам и баннерам, а также накручивает посещаемость интернет-ресурсов. Кроме того, она может использоваться для проведения фишинг-атак и кражи конфиденциальной информации.

Специалисты «Доктор Веб» выявили Android.RemoteCode.106.origin в 9 программах, которые в общей сложности загрузили от 2 370 000 до более чем 11 700 000 пользователей. Троянец был найден в следующих приложениях:

- Sweet Bakery Match 3 – Swap and Connect 3 Cakes версии 3.0;
- Bible Trivia версии 1.8;
- Bible Trivia – FREE версии 2.4;
- Fast Cleaner light версии 1.0;
- Make Money 1.9;
- Band Game: Piano, Guitar, Drum версии 1.47;
- Cartoon Racoon Match 3 - Robbery Gem Puzzle 2017 версии 1.0.2;
- Easy Backup & Restore версии 4.9.15;
- Learn to Sing версии 1.2.

Перед началом вредоносной активности Android.RemoteCode.106.origin выполняет ряд проверок. Если на зараженном мобильном устройстве отсутствует определенное количество фотографий, контактов в телефонной книге и записей о звонках в журнале вызовов, троянец никак себя не проявляет. В случае же выполнения заданных условий он отправляет запрос на управляющий сервер и пытается перейти по ссылке, полученной в ответном сообщении. В случае успеха Android.RemoteCode.106.origin задействует свой основной функционал.

Троянец загружает с управляющего сервера список модулей, которые ему необходимо запустить. Один из них был добавлен в вирусную базу Dr.Web как Android.Click.200.origin. Он автоматически открывает в браузере веб-сайт, адрес которого ему передает командный центр. Эта функция может использоваться для накрутки счетчика посещений интернет-ресурсов, а также проведения фишинг-атак, если троянец получит задание открыть мошенническую веб-страницу.

Второй троянский модуль, получивший имя Android.Click.199.origin, обеспечивает работу третьего компонента, внесенного в вирусную базу как Android.Click.201.origin. Основная задача Android.Click.199.origin – загрузка, запуск и обновление модуля Android.Click.201.origin.

Android.Click.201.origin, в свою очередь, после старта соединяется с управляющим сервером, от которого получает задания. В них указываются адреса веб-сайтов, которые троянец затем открывает в невидимом для пользователя окне WebView. После перехода по одному из целевых адресов Android.Click.201.origin самостоятельно нажимает на указанный в команде рекламный баннер или случайный элемент открытой страницы. Он повторяет эти действия до тех пор, пока не достигнет заданного числа нажатий.

Таким образом, основное предназначение троянца Android.RemoteCode.106.origin – загрузка и запуск дополнительных вредоносных модулей, которые используются для накрутки счетчика посещений веб-сайтов, а также перехода по рекламным объявлениям, за что злоумышленники получают вознаграждение. Кроме того, вредоносная программа может использоваться для проведения фишинг-атак и кражи конфиденциальной информации.

Как отмечается в сообщении компании «Доктор Веб», антивирусные продукты Dr.Web для Android успешно детектируют все приложения, содержащие троянца Android.RemoteCode.106.origin, а также его вспомогательные модули.

Автор: Softodrom.ru
Дата:


utrennik
utrennik, 14.11.2017 04:41
Пользователи, конечно, сами виноваты, что устанавливают приложения, требующие избыточные права. Это напоминает ситуацию с UAC в Windows: многие просто отключают эту функцию, потому что не хотят задумываться о безопасности. Но большая доля ответственности за сложившуюся ситуацию лежит на Гугле, котор...
» Прочитать остальные / Написать свой комментарий


Новости > Безопасность > «Доктор Веб» обнаружил в Google Play приложения с троянцем, которые скачали миллионы раз
Все рубрики статей:
Топ-сегодня: Безопасность
Уязвимость движка WebKit вызывает перезагрузку iOS-устройств
В движке WebKit обнаружен баг, способный привести к перезагрузке iPhone и зависанию компьютеров на macOS
НАТО готово ответить на «кибератаки из России‍»
Согласно пятой статье устава НАТО, вооруженное нападение на одну из сторон или несколько из них в Европе или Северной Америке будет рассматриваться как нападение на них в целом
США включили Россию в список главных киберугроз
Включение России в список главных киберугроз США может негативно отразиться на развитии отечественной IT-отрасли
Как удалить данные без возможности восстановления
Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить
В России работают над новым механизмом идентификации в Интернете
Сегодня существует электронная подпись, но это долго, сложно, дорого и неудобно
Новые статьи: Безопасность
Уязвимость движка WebKit вызывает перезагрузку iOS-устройств
В движке WebKit обнаружен баг, способный привести к перезагрузке iPhone и зависанию компьютеров на macOS
США включили Россию в список главных киберугроз
Включение России в список главных киберугроз США может негативно отразиться на развитии отечественной IT-отрасли
НАТО готово ответить на «кибератаки из России‍»
Согласно пятой статье устава НАТО, вооруженное нападение на одну из сторон или несколько из них в Европе или Северной Америке будет рассматриваться как нападение на них в целом
Популярные Android-приложения оказались полны уязвимостей
Проблемы заключаются в непропатченном открытом коде, на основе которого создается около 90% современного ПО
Информацию об уязвимости в Tor продали правительственному заказчику
Уязвимость в Tor оставалась незакрытой несколько месяцев, эксплойт был обнаружен в ходе программы по отлову багов

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2018 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».