Trojan dla Androida naciąga użytkowników na instalowanie aplikacji z wirusem
Google Play jest najbardziej godnym zaufania sklepem z aplikacjami dla urządzeń z Androidem. Mimo to zdarza się, że różne złośliwe programy są wykrywane i w tym sklepie. Analitycy bezpieczeństwa Doctor Web wykryli ostatnio 190 aplikacji zainfekowanych wirusem Android.Click.95, zagrażającym użytkownikom poprzez instalację aplikacji, „rekomendowanych” wcześniej fałszywymi ostrzeżeniami i komunikatami o nieistniejących błędach.
Wszystkie aplikacje zawierające Android.Click.95 mają dość prostą architekturę. Są to aplikacje służące rozrywce, np. poradniki, horoskopy, senniki, zbiory dowcipów i innych informacji na wszystkie okazje, którymi obecny internet jest wprost zalewany. Analitycy bezpieczeństwa Doctor Web wykryli ponad 190 takich aplikacji w Google Play, dystrybuowanych przez następujących deweloperów: allnidiv, malnu3a, mulache, Lohari, Kisjhka i PolkaPola. Co więcej i co gorsza, przynajmniej 140 tys. użytkowników zainstalowało już te złośliwe aplikacje. Doctor Web poinformował Google o tym incydencie, ale większość tych programów jest wciąż dostępna do pobrania.
Gdy Android.Click.95 znajdzie się na urządzeniu, to rozpoczyna wykonywanie swojej złośliwej aktywności nie od razu po instalacji i uruchomieniu programu, ale 6 godzin później, próbując ukryć prawdziwe źródło infekcji. Po sześcio-godzinnym oczekiwaniu Android.Click.95 sprawdza czy zainfekowane urządzenie ma zainstalowaną aplikację określoną w konfiguracji trojana. Jeśli dana aplikacja nie zostanie wykryta, Android.Click.95 otwiera fałszywą stronę www zachęcającą użytkownika do wybrania innej przeglądarki, ponieważ obecnie używana jest rzekomo niebezpieczna w użyciu. Jeśli żądana aplikacja jest zainstalowana w urządzeniu, trojan wyświetla inne fałszywe ostrzeżenie, na przykład o niesprawności baterii.
Aby rozwiązać niespodziewany problem, o którym użytkownik nie miał nawet pojęcia, ofiara musi zainstalować fałszywą aplikację, a żeby zagwarantować sobie pobranie oferowanej aplikacji, Android.Click.95 wyświetla fałszywą stronę www co 2 minuty, czyniąc normalne użytkowanie urządzenia praktycznie niemożliwym.
Jeśli użytkownik zdecyduje się na pobranie złośliwej aplikacji, to jest przekierowywany do sklepu Google Play do sekcji, w której znajduje się ta aplikacja. Za każde pobranie oszuści otrzymują udział z zysków, zgodnie z postanowieniami umowy partnerskiej (umowy o świadczenie reklamy). Wyjaśnia to dlaczego Android.Click.95 jest tak bardzo rozpowszechniony — cyberprzestępcy próbują z tych pobrań osiągnąć tak duży zysk, jak to tylko możliwe.
Doctor Web zaleca użytkownikom Androida zachowanie wzmożonej ostrożności i nie instalowanie podejrzanych aplikacji, nawet jeśli są one dystrybuowane poprzez Google Play.
