В Google Play обнаружены почти три десятка программ-вредоносов

17-08-2013

Компания «Доктор Веб» обнаружила, что в официальном каталоге Google Play были найдены 28 приложений, содержащих вредоносный рекламный модуль, способный загружать троянцев для мобильной платформы Android. Суммарное число установок этих программ, а, соответственно, и потенциальных жертв достигает нескольких миллионов.

Реклама в Android-приложениях уже давно и успешно применяется различными разработчиками для монетизации своих трудов: это легальный и весьма удобный способ окупить затраченные на создание программ средства и время. Все же, предприимчивые киберпреступники еще в 2011 году решили использовать в собственных целях способности маркетинговых сетей для мобильных устройств, а конкретно распространять с помощью их троянские программки. До сего времени более пользующимися популярностью посреди их являются троянцы семейства Android.SmsSend, созданные для отправки дорогостоящих СМС-сообщений и подписки юзеров на платные контент-услуги. Об одном из таких инцидентов компания «Доктор Веб» докладывала совершенно не так давно. Не считая того, в ближайшее время расширяется перечень вредных программ, распространяемых таким макаром.

Невзирая на то, что имеющиеся маркетинговые сети для мобильных Android-устройств, такие как Гугл AdMob, Airpush, Startapp и пр., полностью удачно удовлетворяют потребности жуликов, последние решили пойти далее и сделали для себя в помощь свою маркетинговую платформу. На 1-ый взор она ничем не отличается от других, представленных на рынке: сеть предлагает Android-разработчикам очень заманчивые условия использования маркетингового API, обещая высочайший и размеренный доход, также удобство управления и контроля учетных записей. Не умопомрачительно, что некие разработчики приложений серьезно заинтересовались новейшей платформой.

Как и в почти всех других Adware-модулях, для отображения маркетинговых сообщений в этом маркетинговом API употребляется push-метод, когда в панель состояния мобильного Android-устройства выводится то либо другое информационное извещение. Но кроме заявленных функций данная платформа содержит ряд укрытых способностей.

Так, в push-уведомлениях от жульнической маркетинговой сети может демонстрироваться информация о необходимости установки принципиального обновления для тех либо других приложений. В случае если ничего не подозревающий юзер соглашается на установку такового «обновления», маркетинговый модуль делает загрузку некоего apk-пакета и помещает его на карту памяти в каталог загрузок /mnt/sdcard/download. Этот модуль может также сделать на главном экране мобильного устройства ярлычек, связанный с только-только загруженным ПО, и в предстоящем при нажатии юзера на этот ярлычек будет инициирован процесс установки соответственной ему программки.

Проведенное спецами компании «Доктор Веб» исследование показало, что загружаемые таким макаром apk-файлы являются представителями семейства троянских программ Android.SmsSend. Предстоящий анализ дозволил выявить источник, откуда происходила загрузка данных троянцев: им оказались сервера, на Айпишниках которых зарегистрированы разные поддельные сборники приложений. А именно, в 3-х проанализированных приложениях жульническая маркетинговая платформа употребляет связь с управляющим сервером по адресу 188.130.xxx.xx, а в других 20 5 – связь осуществляется через управляющий сервер с адресом 91.226.xxx.xx. Данные адреса еще некоторое количество дней вспять были оперативно внесены в модуль Родительского контроля антивируса Dr.Web и удачно им блокируются.

Ниже представлен полный перечень команд с управляющих серверов, которые может принимать и делать вредная маркетинговая платформа:

news – показать push-уведомление
showpage – открыть интернет-страницу в браузере
install – скачать и установить apk
showinstall – показать push-уведомление с установкой apk
iconpage – сделать ярлычек на интернет-страницу
iconinstall – сделать ярлычек на загруженный apk
newdomen – поменять адресок управляющего сервера
seconddomen – запасной адресок сервера
stop – закончить обращаться к серверу
testpost – отправляет запрос повторно
ok – ничего не делать

Кроме выполнения данных команд, жульнический модуль способен также собирать и отправлять на командный сервер последующую информацию: imei мобильного устройства, код оператора и номер imsi мобильника.

Особенная опасность этого маркетингового API состоит в том, что содержащие его приложения были обнаружены в официальном каталоге Гугл Play, который де-факто считается более неопасным источником Android-программ. Из-за того, что многие юзеры привыкли доверять безопасности Гугл Play, число установок пораженных данным маркетинговым модулем программ очень велико. Из-за ограничений, накладываемых компанией Гугл на статистическую информацию о числе загрузок приложений из ее каталога, нельзя с абсолютной точностью именовать общее число возможных жертв, но на основании имеющихся в распоряжении профессионалов «Доктор Веб» сведений справедливо утверждать, что вероятное число пострадавших может достигать более чем 5,3 миллиона юзеров. Это наикрупнейший и более массовый со времен ввода антивирусной системы Гугл Bouncer случай инфецирования вредоносными приложениями, которые находились в каталоге Гугл Play.

Принимая во внимание вредный функционал исследованного маркетингового API, также обнаруженную связь с веб-сайтами, распространяющими вредное ПО для Android, спецы компании «Доктор Веб» отнесли данный модуль к adware-системам, сделанным киберпреступниками конкретно для вредных целей

Похожие статьи: