События

Троян для Android покупает приложения в Google Play

Троян для Android покупает приложения в Google Play

Специалисты компании «Доктор Веб» обнаружили необычную малварь Android.Slicer. Основной отличительной особенностью данного вредоноса является то, что он способен покупать и устанавливать приложения из официального каталога Google Play.

На первый взгляд троян, получившийся идентификатор Android.Slicer.1.origin, не представляет собой ничего особенного. Малварь неплохо маскируется и обладает функциями, характерными для популярных сервисных утилит и программ-оптимизаторов. В частности, троянец умеет показывать информацию об использовании оперативной памяти и «очищать» ее, завершая работу активных процессов, а также позволяет включать и отключать беспроводные модули Wi-Fi и Bluetooth. Однако приложение не имеет собственного ярлыка, так что пользователь не может запустить его самостоятельно.

Основная задача малвари, это, конечно, не очистка памяти, а показ навязчивой рекламы. Через некоторое время после запуска, а также при включении или отключении экрана и Wi-Fi-модуля Android.Slicer передает на управляющий сервер информацию об IMEI-идентификаторе зараженного смартфона или планшета, MAC-адресе Wi-Fi-адаптера, наименовании производителя мобильного устройства и версии операционной системы. В ответ троян получает задания, к примеру, добавить ярлык на домашний экран ОС, показать рекламный баннер, открыть ссылку в браузере или в каталоге Google Play.

trojan_slicer_01
trojan_slicer_02
trojan_slicer_03

Исследователи пишут, что Android.Slicer может не просто открывать заданные разделы Google Play, тем самым рекламируя какие-то приложения, малварь также умеет самостоятельно устанавливать соответствующие программы, в том числе платные.

Для этих целей вредонос использует другого трояна: аналог утилиты su для работы с root-привилегиями, детектируемый как Android.Rootkit.40. Когда эта программа присутствует в системном разделе /system/bin, Android.Slicer способен автоматически покупать и загружать приложения из Google Play.

Всё происходит так: Android.Slicer открывает раздел приложения в каталоге, используя Android.Rootkit.40, и от имени root запускает стандартную системную утилиту uiautomator. С ее помощью вредонос получает информацию обо всех окнах и элементах управления, видимых на экране в данный момент. Затем малварь ищет сведения о кнопках с идентификатором com.android.vending:id/buy_button (кнопки «Купить» и «Установить») и com.android.vending:id/continue_button (кнопка «Продолжить»). Обнаружив координаты середины соответствующих кнопок, троян «нажимает» на них, пока элементы управления с необходимыми идентификаторами доступны на экране. Таким образом, Android.Slicer может автоматически покупать платные, а также загружать бесплатные версии заданных злоумышленниками приложений без ведома пользователя.

При этом специалисты «Доктор Веб» отмечают, что возможности вредоноса вовсе небезграничны. Дело в том, что идентификаторы кнопок, которые использует Android.Slicer, представлены только в Android версии 4.3 и выше. К тому же, Android.Rootkit.40 не может работать на устройствах с активным SELinux, то есть в Android версии 4.4 и выше. Получается, что Android.Slicer опасен только для устройств, работающих под управлением Android 4.3.

Автор: Сергей Куприянов
5.08.2016 (20:15)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.