10 listopada 2016

Specjaliści Doctor Web wykryli w Google Play nowego trojana, nazwanego Android.MulDrop.924. Ten trojan w skrycie pobiera aplikacje i zachęca użytkowników do ich instalacji. Dodatkowo wyświetla denerwujące reklamy.

Android.MulDrop.924 rozpowszechnia się poprzez Google Play jako aplikacja nazwana “Multiple Accounts: 2 Accounts”, która do tej pory została pobrana ponad milion razy. Ten złośliwy program ułatwia równoległe używanie wielu kont użytkownika, głównie w grach i w innych programach zainstalowanych na urządzeniu. Jednakże, mimo że wygląda na niegroźną, to ta aplikacja skrywa w sobie złośliwe funkcjonalności o których ofiary nie są informowane. Analitycy bezpieczeństwa Doctor Web ostrzegli już Google o tym incydencie, jednakże w chwili opublikowania tej wiadomości Android.MulDrop.924 był wciąż dostępny do pobrania.

Trojan ma unikalną, modułową architekturę. Część jego funkcjonalności jest zlokalizowana w dwóch modułach pomocniczych, które są zaszyfrowane i ukryte wewnątrz obrazu PNG w katalogu zasobów wirusa Android.MulDrop.924. Uruchomiony, trojan wypakowuje i kopiuje te moduły do swojego katalogu lokalnego w sekcji /data, a następnie ładuje je do pamięci.

Jeden z tych komponentów realizuje nie tylko niegroźne funkcje, ale również zawiera kilka wtyczek reklamowych używanych przez autorów trojana do generowania dochodu. Jednym z nich jest też złośliwy moduł Android.MulDrop.924 — w skrycie pobiera on aplikacje i zaprasza użytkowników do ich instalacji. Dodatkowo potrafi wyświetlać reklamy w pasku statusowym urządzenia.

Oprócz Google Play, Android.MulDrop.924 jest rozpowszechniany poprzez inne sklepy z aplikacjami. Jedna z jego modyfikacji jest wbudowana we wcześniejszą wersję aplikacji “Multiple Accounts: 2 Accounts”. Jest podpisana certyfikatem pochodzącym od firmy trzeciej i, podobnie jak moduł Android.DownLoader.451.origin, zawiera dodatkową złośliwą wtyczkę Android.Triada.99, która pobiera exploity w celu uzyskania uprawnień root’a na zainfekowanym urządzeniu. Ten moduł potrafi również pobierać i instalować inne aplikacje. Fakt, że ta modyfikacja jest podpisana innym certyfikatem świadczy o tym, że jest zmodyfikowana i dystrybuowana przez inną grupę agresorów, niezależną od twórców oryginalnego trojana.

Dr.Web dla Androida z powodzeniem wykrywa wszystkie znane wersje Android.MulDrop.924 i jego komponentów, nie stanowią więc one żadnego zagrożenia dla naszych użytkowników.

Już teraz zabezpiecz swoje urządzenie z Androidem razem z Dr.Web