18 stycznia 2017

Pośród dużej różnorodności trojanów dla Androida, złośliwe programy potrafiące w skrycie pobierać mobilne oprogramowanie rozpowszechniły się w bardzo szerokim stopniu. Pozwalają one cyberprzestępcom na uzyskiwanie dochodów za każdym razem, gdy te programy są z powodzeniem pobierane i instalowane na zaatakowanych urządzeniach. Jeden z takich trojanów wykryty przez analityków bezpieczeństwa Doctor Web infiltruje działający proces Sklepu Play i w ukryciu zwiększa całkowitą liczbę instalacji aplikacji Google Play.

Android.Skyfin.1.origin jest najprawdopodobniej rozpowszechniany poprzez pewne trojany z rodziny Android.DownLoader (na przykład Android.DownLoader.252.origin i Android.DownLoader.255.origin) które po zainfekowaniu smartfonów i tabletów uzyskują dostęp na poziomie root’a i w skrycie instalują złośliwe programy w katalogu systemowym. Ich kod zawiera ciągi znaków charakterystyczne dla Android.Skyfin.1.origin; tym samym bardzo prawdopodobne jest, że Android.Skyfin.1.origin jest dystrybuowany w szczególności przez jedną z wymienionych złośliwych aplikacji.

Gdy Android.Skyfin.1.origin zostanie uruchomiony, wstrzykuje dodatkowy moduł Android.Skyfin.2.origin w proces Sklepu Play. Wykrada on unikalny identyfikator urządzenia mobilnego i konto posiadacza urządzenia, które są używane do interakcji z usługami Google; wykrada również różne wewnętrze kody autoryzacyjne do łączenia się z katalogiem Google Play, jak i inne poufne dane. Następnie moduł wysyła te dane do głównego komponentu Android.Skyfin.1.origin, po czym trojan wysyła te dane na serwer kontrolno-zarządzający razem z informacjami technicznymi dotyczącymi urządzenia.

Używając zebranych danych Android.Skyfin.1.origin łączy się z katalogiem Google Play i symuluje działanie aplikacji Sklep Play. Trojan potrafi wykonywać następujące komendy:

• /search – przeszukiwanie katalogu w celu zasymulowania sekwencji działań użytkownika;
• /purchase – żądanie zakupu programu;
• /commitPurchase – potwierdzenie zakupu;
• /acceptTos – potwierdzenie zapoznania się z postanowieniami umowy licencyjnej;
• /delivery – zażądanie linku do pobrania pliku APK z katalogu;
• /addReview /deleteReview /rateReview - dodawanie, usuwanie i ocenianie recenzji;
• /log – potwierdzenie pobrania programu w celu sztucznego powiększenia całkowitej liczby instalacji.

Gdy aplikacja określona przez cyberprzestępców zostanie pobrana, Android.Skyfin.1.origin nie instaluje jej, tylko zapisuje ją na karcie SD, dzięki czemu użytkownik nie może zobaczyć nowych programów które pojawiły się w systemie nie wiadomo skąd. W rezultacie trojan zwiększa swoje szanse na pozostanie niezauważonym i może kontynuować “pompowanie” całkowitej liczby instalacji w celu sztucznego zwiększania popularności aplikacji Google Play.

Analitycy bezpieczeństwa Doctor Web wykryli kilka modyfikacji Android.Skyfin.1.origin. Jedna z nich potrafi pobierać z Google Play tylko jedną aplikację - com.op.blinkingcamera. Trojan symuluje naciskanie bannera Google AdMob zawierającego reklamę tego programu, pobiera jego plik APK i automatycznie zwiększa całkowitą liczbę pobrań potwierdzając w serwerze Google dokonanie fałszywej instalacji. Inna modyfikacja Android.Skyfin.1.origin jest bardziej powszechna. Potrafi dokonać pobrania dowolnej aplikacji z katalogu. W tym celu cyberprzestępcy dostarczają trojanowi listę programów do pobrania.

Wszystkie znane modyfikacje Android.Skyfin.1.origin są z powodzeniem wykrywane przez Antywirusa Dr.Web dla Androida, tym samym posiadacze smartfonów i tabletów mogą sprawdzić swoje urządzenia pod kątem tego trojana. Jednakże z przyczyny, że Android.Skyfin.1.origin jest zainstalowany w katalogu systemowym, to jedynie Dr.Web Security Space dla Androida z włączonym dostępem na poziomie root’a jest zdolny do poradzenia sobie z tym rodzajem złośliwej aplikacji.

Więcej na temat tego trojana

Już teraz zabezpiecz swoje urządzenie z Androidem razem z Dr.Web