Пользователи скачали Android-троян из Google Play свыше 1 млн раз

Исследователи «Доктор Веб» предупредили владельцев Android-устройств о трояне, идентифицируемом продуктами компании как Android.MulDrop.924. Злоумышленники распространяют вредоносное ПО через магазин Google Play под видом приложения Multiple Accounts: 2 Accounts, позволяющего одновременно использовать несколько учетных записей в играх и других приложениях. Количество загрузок вредоноса превысило 1 млн.

Для Android.MulDrop.924 характерна необычная модульная архитектура. В каталоге ресурсов трояна находится изображение в формате PNG, где спрятаны два зашифрованных вспомогательных модуля. После запуска вредонос извлекает и копирует их в свою локальную директорию в разделе /data и загружает в память. Один из модулей содержит рекламные плагины. Троянский модуль Android.DownLoader.451.origin без участия пользователя загружает игры и предлагает установить их, а также отображает рекламу в уведомлениях.

По словам экспертов, вредонос распространяется не только через Google Play, но и посредством сайтов-сборников ПО. Более ранняя версия приложения Multiple Accounts: 2 Accounts содержит другую модификацию трояна, подписанную сторонним сертификатом. Помимо модуля Android.DownLoader.451.origin в ней присутствует еще один троянский плагин – Android.Triada.99. Данный элемент загружает эксплоиты и с их помощью получает на устройстве права суперпользователя.