Более чем в 100 приложениях из Google Play обнаружен троянец-шпион, показывающий рекламу

Вредоносные программы для ОС Android, которые приносят доход своим создателям благодаря показу навязчивой рекламы, становятся все более распространенными.

Очередного такого троянца, обладающего шпионскими функциями и получившего имя Android.Spy.277.origin, специалисты компании «Доктор Веб» обнаружили в более чем 100 приложениях, размещенных в каталоге Google Play.

Большинство программ, в составе которых распространяется Android.Spy.277.origin, представляют собой поддельные версии популярного ПО, название и внешний вид которого злоумышленники позаимствовали для привлечения внимания пользователей и увеличения количества загрузок троянца. В частности, среди обнаруженных специалистами «Доктор Веб» программ-двойников встречаются всевозможные утилиты, фоторедакторы, графические оболочки, анимированные обои рабочего стола и другие приложения. В общей сложности вирусные аналитики выявили более 100 наименований программ, содержащих Android.Spy.277.origin, а суммарное количество их загрузок превысило 3 200 000. Компания «Доктор Веб» уведомила службу безопасности корпорации Google о существующей проблеме, и на данный момент некоторые из этих вредоносных приложений уже недоступны для загрузки из каталога Google Play.

После запуска программ, в которых находится троянец, последний передает на управляющий сервер очень подробные сведения о зараженном мобильном устройстве. Среди прочего, он собирает следующую информацию:

email-адрес, привязанный к пользовательской учетной записи Google;
IMEI-идентификатор;
версию ОС;
версию SDK системы;
навание модели устройства;
разрешение экрана;
идентификатор сервиса Google Cloud Messaging (GCM id);
номер мобильного телефона;
страну проживания пользователя;
тип центрального процессора;
MAC-адрес сетевого адаптера;
параметр «user_agent», формируемый по специальному алгоритму;
наименование мобильного оператора;
тип подключения к сети;
подтип сети;
наличие root-доступа в системе;
наличие у приложения, в котором находится троянец, прав администратора устройства;
название пакета приложения, содержащего троянца;
наличие установленного приложения Google Play.
Каждый раз, когда пользователь запускает то или иное приложение, установленное на устройстве, троянец повторно передает на сервер вышеуказанные данные, название запущенного приложения, а также запрашивает параметры, необходимые для начала показа рекламы. В частности, Android.Spy.277.origin может получить следующие указания:

«show_log» – включить или отключить ведение журнала работы троянца;
«install_plugin» – установить плагин, скрытый внутри программного пакета вредоносного приложения;
«banner», «interstitial», «video_ads» – показать различные виды рекламных баннеров (в том числе поверх интерфейса ОС и других приложений);
«notification» – отобразить в информационной панели уведомление с полученными параметрами;
«list_shortcut» – поместить на рабочий стол ярлыки, нажатие на которых приведет к открытию заданных разделов в каталоге Google Play;
«redirect_gp» – открыть в приложении Google Play страницу с заданным в команде адресом;
«redirect_browser» – открыть заданный веб-адрес в предустановленном браузере;
«redirect_chrome» – открыть заданный веб-адрес в браузере Chrome;
«redirect_fb» – перейти на указанную в команде страницу социальной сети Facebook.
Как видно на представленных ниже примерах рекламных баннеров, троянец может фактически запугивать пользователей, например, ложно информируя о повреждении аккумулятора устройства и предлагая скачать ненужные программы для его «починки».