23 czerwca 2016

Mimo że Google Play jest wciąż uważany za najbardziej bezpieczny sklep z aplikacjami dla Androida, to od czasu do czasu agresorzy próbują zepsuć jego reputację, rozpowszechniając swoje złośliwe programy poprzez ten katalog. Jednym z takich programów jest Android.Valeriy.1.origin, wykryty ostatnio przez specjalistów Doctor Web. Ten trojan jest przeznaczony do dystrybuowania malware i do zapisywania użytkowników do różnych płatnych usług, zarabiając pieniądze na nieostrożności swoich ofiar.

Trojan Android.Valeriy.1.origin został wdrożony jako złośliwa wtyczka wbudowywana w niegroźne aplikacje. Jest dystrybuowany przez ZvonkoMedia LLC, Danil Prokhorov i horshaom w sześciu różnych aplikacjach dla Androida opublikowanych w Google Play:

• Battery Booster;
• Power Booster;
• Blue Color Puzzle;
• Blue And White;
• Battery Checker;
• Hard Jump - Reborn 3D.

Te programy, będące grami i narzędziami serwisowymi, zostały pobrane przez ponad 15500 użytkowników. Oprócz tego analitycy bezpieczeństwa Doctor Web zarejestrowali ponad 55000 pobrań tych aplikacji po tym, jak uzyskali dostęp do serwera C&C trojana. Nasi specjaliści poinformowali już Google o tym incydencie, ale, jak dotąd, aplikacje zawierające Android.Valeriy.1.origin są wciąż dostępne do pobrania.

Gdy jedna z tych aplikacji zostanie uruchomiona, Android.Valeriy.1.origin podłącza się do serwera i uzyskuje instrukcje zawierające specjalnie wygenerowany link. Trojan korzysta z tego linku, prowadzącego go na stronę www dostarczającą trojanowi docelowy URL, zależny od różnych parametrów. W większości przypadków ten URL prowadzi ofiary na podejrzaną stronę www w celu uzyskania ich numerów telefonu komórkowego i zapisania ich na płatne usługi. Przykładowo użytkownikom oferuje się możliwość przeglądania treści dla dorosłych, lub pobrania popularnego oprogramowania, będącego, w rzeczywistości, dostępnego za darmo w Google Play. Pomimo faktu, że wszystkie informacje dotyczące warunków subskrypcji są dostępne na stronie www, użytkownicy mogą z łatwością nie zwrócić na nie uwagi i podać swój numer telefonu.

Android.Valeriy.1.origin otwiera jedną z takich stron w WebView i wyświetla ją jako reklamę. Następnie rozpoczyna monitorowanie wszystkich przychodzących wiadomości SMS. Jeśli użytkownik udostępni swój numer telefonu, to w wyniku tego kroku wysyłany jest kod potwierdzający dokonanie subskrypcji, jednakże Android.Valeriy.1.origin przechwytuje i blokuje wszystkie wiadomości tego typu. W rezultacie ofiara nie zdaje sobie nawet sprawy, że została zapisana do pewnych usług i w rezultacie, dzień w dzień, pewne opłaty za otrzymaną subskrypcję są pobierane z konta mobilnego pechowego użytkownika.

Trojan potrafi również realizować inną funkcję — pobierać różne oprogramowanie, włączając w to złośliwe programy. Na przykład specjaliści Doctor Web wykryli tu trojana typu downloader Android.DownLoader.355.origin. Ponadto instrukcje dla Android.Valeriy.1.origin mogą zawierać różne skrypty JavaScript, które są wykonywane z użyciem WebView. Te funkcjonalności mogą być zaimplementowane do skrytego naciskania interaktywnych elementów strony, reklam i linków zamieszczonych na przeglądanych stronach www — na przykład do potwierdzania numeru telefonu określonego przez użytkownika lub do zwiększania różnych statystyk dotyczących ruchu na danej stronie.

Jeśli nie chcesz stać się ofiarą tych nieuczciwych schematów, zalecamy zwracanie szczególnej uwagi na wszystkie wiadomości typu pop-up i wyświetlane powiadomienia i ostrzegamy przed wprowadzaniem swojego numeru telefonu w podejrzanych formularzach zamieszczanych na stronach www.

Większość aplikacji zaatakowanych przez Android.Valeriy.1.origin jest chroniona przez specjalny program pakujący który utrudnia ich analizę, jednakże antywirusy Dr.Web dla Androida wykrywają Android.Valeriy.1 i Android.Packed.1 i usuwają je z urządzeń mobilnych. Tym samym nie stanowią one żadnego zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Już teraz zabezpiecz swoje urządzenie mobilne z Androidem razem z Dr.Web