Trojan w 155 aplikacjach w Google Play. Zainfekował już 2,8 miliona urządzeń
Specjaliści Doctor Web wykryli w Google Play trojana wyświetlającego irytujące reklamy i wykradającego prywatne dane użytkowników. Wirus został wbudowany w ponad 150 aplikacji dla Androida, które zostały pobrane przez ponad 2,8 miliona użytkowników.
Trojan, nazwany Android.Spy.305.origin, został opracowany jako reklamowa platforma SDK używana do generowania dochodów z pobierania aplikacji. Specjaliści zarejestrowali przynajmniej siedmiu deweloperów, którzy wbudowali Android.Spy.305.origin do swoich aplikacji: MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps i Mothrr Mobile Apps.
Wśród tych złośliwych aplikacji można znaleźć “żywe” tapety, katalogi obrazów, programy narzędziowe, edytory zdjęć, aplikacje typu radio FM i inne. Jak dotąd analitycy bezpieczeństwa Doctor Web zarejestrowali 155 niebezpiecznych aplikacji, które zostały pobrane już ponad 2,8 miliona razy. Mimo że Doctor Web poinformowała Google o tym, które aplikacje zawierają Android.Spy.305.origin, wiele z nich jest wciąż dostępnych do pobrania.
Gdy jedna z tych aplikacji zostanie uruchomiona, Android.Spy.305.origin podłącza się do swojego serwera kontrolno-zarządzającego (C&C) i otrzymuje polecenie pobrania dodatkowego modułu — Android.Spy.306.origin. Ten komponent zawiera główny złośliwy moduł używany przez Android.Spy.305.origin z pomocą klasy DexClassLoader.
Następnie trojan wysyła na serwer C&C następujące dane: adres e-mail podłączony do konta Google użytkownika, listę zainstalowanych aplikacji, bieżący język systemowy, nazwę producenta urządzenia, model urządzenia mobilnego, identyfikator IMEI, wersję systemu operacyjnego, rozdzielczość ekranu, nazwę operatora sieci mobilnej, nazwę aplikacji zawierającej trojana, ID dewelopera, wersję platformy SDK
Następnie Android.Spy.305.origin rozpoczyna dostarczanie reklam, wyświetlając je na wierzchu uruchomionych aplikacji i interfejsu systemu operacyjnego. Dodatkowo potrafi zachęcać użytkowników do pobrania różnego oprogramowania i usiłuje ich przestraszyć przekonując, że ich urządzenia zostały zainfekowane.
Mimo że Google Play jest oficjalnym i pewnym źródłem oprogramowania dla Androida, nieustannie pojawiają tam się nowe trojany w aplikacjach. Dlatego specjaliści zalecają użytkownikom zwracanie szczególnej uwagi na negatywne opinie publikowane przez innych użytkowników i pobieranie oprogramowania stworzonego wyłącznie przez pewnych deweloperów.