Specjaliści Doctor Web wykryli trojana w Google Play wyświetlającego irytujące reklamy i wykradającego prywatne dane użytkowników. To malware zostało wbudowane w ponad 150 aplikacji dla Androida, które zostały pobrane przez ponad 2,8 miliona użytkowników. Trojan, nazwany Android.Spy.305.origin został opracowany jako reklamowa platforma SDK używana do generowania dochodów z pobierania aplikacji. Specjaliści Doctor Web zarejestrowali przynajmniej siedmiu deweloperów, którzy wbudowali Android.Spy.305.origin do swoich aplikacji: MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps i Mothrr Mobile Apps.
Wśród tych złośliwych aplikacji można znaleźć “żywe” tapety, katalogi obrazów, programy narzędziowe, edytory zdjęć, aplikacje typu radio FM i inne. Jak dotąd analitycy bezpieczeństwa Doctor Web zarejestrowali 155 niebezpiecznych aplikacji, które zostały pobrane już ponad 2,8 miliona razy. Mimo że Doctor Web poinformowała Google o tym, które aplikacje zawierają Android.Spy.305.origin, wiele z nich jest wciąż dostępnych do pobrania.
Gdy jedna z tych aplikacji zostanie uruchomiona, Android.Spy.305.origin podłącza się do swojego serwera kontrolno-zarządzającego (C&C) i otrzymuje polecenie pobrania dodatkowego modułu — Android.Spy.306.origin. Ten komponent zawiera główny złośliwy moduł używany przez Android.Spy.305.origin z pomocą klasy DexClassLoader.
Następnie trojan wysyła na serwer C&C następujące dane:
- Adres e-mail podłączony do konta Google użytkownika
- Listę zainstalowanych aplikacji
- Bieżący język systemowy
- Nazwę producenta urządzenia
- Model urządzenia mobilnego
- Identyfikator IMEI
- Wersję systemu operacyjnego
- Rozdzielczość ekranu
- Nazwę operatora sieci mobilnej
- Nazwę aplikacji zawierającej trojana
- ID dewelopera
- Wersję platformy SDK
Następnie Android.Spy.305.origin rozpoczyna dostarczanie reklam, wyświetlając je na wierzchu uruchomionych aplikacji i interfejsu systemu operacyjnego. Dodatkowo potrafi zachęcać użytkowników do pobrania różnego oprogramowania i usiłuje ich przestraszyć przekonując, że ich urządzenia zostały zainfekowane.
Mimo że Google Play jest oficjalnym i pewnym źródłem oprogramowania dla Androida, nieustannie pojawiają tam się nowe trojany w aplikacjach. Dlatego specjaliści Doctor Web zalecają użytkownikom zwracanie szczególnej uwagi na negatywne opinie publikowane przez innych użytkowników i pobieranie oprogramowania stworzonego wyłącznie przez pewnych deweloperów.
Produkty Dr.Web dla Androida z powodzeniem wykrywają i usuwają Android.Spy.305.origin, tym samym ten złośliwy program nie stanowi żadnego zagrożenia dla użytkowników oprogramowania Dr.Web.
