В Google Play обнаружено 28 приложений с троянами
Антивирусная компаня «Доктор Веб» сообщила о том, что в Google Play было обнаружено 28 программ, которые содержали вредоносный код, способный загружать троянские приложения. Общее количество загрузок данных приложений составляет несколько миллионов. Рекламные блоки в приложениях уже давно используются многими разработчиками для монетизации программ и игр. Однако еще в 2011 году данную возможность решили использовать злоумышленники для распространения вредоносного кода. Однако мошенники решили пойти значительно дальше и сформировали собственную рекламную сеть, которая практически не отличается от аналогичных сервисов (Startapp, Airpush, Google AdMob и т.д.): сеть предлагает разработчикам выгодные условия использования API, обещает стабильный и высокий доход, а также удобные инструменты для работы с учетными записями. Это позволило за относительно короткий промежуток времени привлечь достаточное количество разработчиков игровых приложений. Как и в большинстве Adware-модулях, вывод рекламы происходит при помощи метода push – информационное оповещение выводится на панели состояния устройства. Однако кроме стандартных функций платформа злоумышленников включает несколько скрытых возможностей. Например, push-уведомление может выводить оповещение о необходимости загрузки критического обновления для определенной программы. Если пользователь соглашается на обновление, рекламный модуль загружает сторонний apk-пакет и сохраняет его в каталог загрузок на карте памяти (/mnt/sdcard/download). Вредоносный модуль также помещает на рабочий стол ярлык, указывающий на загруженную утилиту. Нажатие на созданный ярлык инициирует инсталляцию закруженного ранее пакета. Исследование, проведенного специалистами антивирусных компаний, показало, что загруженный apk-файл вирусом семейства Android.SmsSend. Удалось также выявить и источник загрузки вредоносных пакетов: использовались сервера, которые уже давно используются для различных поддельных каталогов программ. Кроме выполнения стандартных команд, таких как загрузка apk-файла, вывод push-уведомления, модуль способен отправлять на сервер персональную информацию о зараженном телефоне (imei, imsi и код оператора). Опасность данной рекламной сети в том, что программы, которые ее использовали, были обнаружены в каталоге Google Play, который многие пользователи считают безопасным источником приложений для Android.
