Analitycy malware z laboratorium antywirusowego Doctor Web twierdzą, że udostępniona w Google Play aplikacja KK Browser podszywała się pod przeglądarkę, szpiegowała użytkowników oraz wysyłała do zdalnego serwera bardzo ciekawe informacje o urządzeniu.

KK is the smallest and fastest browser you've ever seen. With a volume of only 1M, it is able to be started within 0 second. – czytamy na Google Play.

KK Browser zidentyfikowany jako Android.Downloader.171.origin została pobrana od 100 tysięcy do 500 tysięcy razy. Posiada zarówno cechy adware jak i spyware. Po zainstalowaniu w urządzeniu łączy się z serwerem C2 pod adresem http://120.**.73.213: 80 lub http : //s.1329***.cc:88 oraz pobiera z niego pliki określone przez cyberprzestępców. W zależności od tego, czy telefon posiada uprawnienia roota, trojan potrafi automatycznie bez żadnego powiadomienia instalować oraz usuwać aplikacje, lub wyświetli monit informacyjny, jeśli urządzenie nie jest zrotowane. Oprócz tego trojan wyświetla fałszywe powiadomienia o wiadomości e-mail na pasku stanu, które przekierowują użytkownika telefonu do internetowych stron phishingowych lub ze złośliwym oprogramowaniem dla systemu Android.

Ciekawe jest również to, jakie informacje zostają wytransferowane do serwera przestępców. Jako, że zdecydowana większość ofiar to obywatele Chin oraz Indonezji, trojan skanuje urządzenie w poszukiwaniu chińskich programów antywirusowych, wysyła informacje o urządzeniu (IMEI, rozdzielczość ekranu), o systemie operacyjnym oraz zainstalowanych programach. 

W sklepie Google Play znajdują się jeszcze dwie aplikacje o podobnych nazwach autorstwa KK App Team – SMS KK oraz KK Cleaner. Warto na nie uważać i po prostu nie instalować ich.

Analiza VT trojana.

Szkodliwa aplikacja KK Browser została już usunięta z Google Play.

AUTOR:

Adrian Ścibor

Podziel się