Nowy trojan wykryty w 155 aplikacjach w Google Play zainfekował już 2,8 miliona urządzeń mobilnych

Wiadomości o aktywnych zagrożeniach | Hot news | Zagrożenia dla urządzeń mobilnych | All the news | Ostrzeżenia wirusowe

28 lipca 2016

Specjaliści Doctor Web wykryli trojana w Google Play wyświetlającego denerwujące reklamy i wykradającego prywatne dane użytkowników. To malware zostało wbudowane w ponad 150 aplikacji dla Androida, które zostały pobrane przez ponad 2,8 miliona użytkowników.

Trojan, nazwany Android.Spy.305.origin, został opracowany jako reklamowa platforma SDK używana do generowania dochodów z pobierania aplikacji. Specjaliści Doctor Web zarejestrowali przynajmniej siedmiu deweloperów którzy wbudowali Android.Spy.305.origin do swoich aplikacji: MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps i Mothrr Mobile Apps.

Android.Spy.305.origin #drweb Android.Spy.305.origin #drweb Android.Spy.305.origin #drweb

Pośród tych złośliwych aplikacji można znaleźć “żywe” tapety, katalogi obrazów, programy narzędziowe, edytory zdjęć, aplikacje typu radio FM, i inne. Jak dotąd analitycy bezpieczeństwa Doctor Web zarejestrowali 155 niebezpiecznych aplikacji, które zostały pobrane już ponad 2,8 miliona razy. Mimo że nasza firma poinformowała Google o tym, które aplikacje zawierają Android.Spy.305.origin, wiele z nich jest wciąż dostępne do pobrania.

Android.Spy.305.origin #drweb

Gdy jedna z tych aplikacji zostanie uruchomiona, Android.Spy.305.origin podłącza się do swojego serwera kontrolno-zarządzającego (C&C) i otrzymuje polecenie pobrania dodatkowego modułu — Android.Spy.306.origin. Ten komponent zawiera główny złośliwy “arsenał” używany przez Android.Spy.305.origin z pomocą klasy DexClassLoader.

Następnie trojan wysyła na serwer C&C następujące dane:

  • Adres e-mail podłączony do konta Google użytkownika
  • Listę zainstalowanych aplikacji
  • Bieżący język systemowy
  • Nazwę producenta urządzenia
  • Model urządzenia mobilnego
  • Identyfikator IMEI
  • Wersję systemu operacyjnego
  • Rozdzielczość ekranu
  • Nazwę operatora sieci mobilnej
  • Nazwę aplikacji zawierającej trojana
  • ID dewelopera
  • Wersję platformy SDK

Następnie Android.Spy.305.origin rozpoczyna dostarczanie denerwujących reklam wyświetlając je na wierzchu uruchomionych aplikacji i interfejsu systemu operacyjnego. Dodatkowo potrafi zachęcać użytkowników do pobrania różnego oprogramowania i usiłuje ich przestraszyć przekonując, że ich urządzenia zostały zainfekowane różnymi programami malware.

Android.Spy.305.origin #drweb Android.Spy.305.origin #drweb Android.Spy.305.origin #drweb

Android.Spy.305.origin został znaleziony w następujących programach:

  • com.greenapp.slowmotion
  • com.maxmitek.livewallpapernight
  • com.asem.contactfilter
  • com.allinOne.openquickly
  • com.dorilradio.pe
  • com.fusianart.takescreenshots
  • com.maxmitek.livewallpapergod
  • com.gigmobile.booster
  • com.mobilescreen.recorder
  • com.mobilescreen.capture
  • com.fattys.automaticcallrecording
  • com.maxmitek.livewallpaperbutterfly
  • com.lollicontact.caller
  • com.fusianart.doubletapscreen
  • com.maxmitek.livewallpaperrain
  • com.dorilradio.ru
  • com.appworks.browser
  • com.maxmitek.livewallpaperwinter
  • com.sgfatty.videoplayerpro
  • com.trueapppower.battery
  • com.fattystudiocontacts.bassbooster
  • com.mobiletool.rootchecker
  • com.magicapp.reversevideo
  • com.maxmitek.livewallpaperchristmas
  • com.live3d.wallpaperlite
  • com.maxmitek.flowerwallpaper
  • com.maxmitek.livewallpaperaquariumfishfish
  • com.maxmitek.nightwallpapers
  • com.vmh.crackyourscreen
  • com.nicewallpaper.s6wallpaper
  • com.maxmitek.sunsetwallpaper
  • com.nicewallpaper.supercar
  • com.maxmitek.lovewallpaper
  • com.maxmitek.livewallpaperdolphins
  • com.nicewallpaper.beautigirl
  • com.maxmitek.beachwallpaper
  • com.maxmitek.livewallpapernewyear
  • com.maxmitek.livewallpapergalaxy
  • com.maxmitek.livewallpaper3d
  • com.maxmitek.livewallpaperwaterfall
  • com.maxmitek.wallpaperhalloween
  • com.maxmitek.catwallpaper
  • com.fattysgui.beautyfont
  • com.fattystudioringtone.mp3cutter
  • com.fattystudio.convertertomp3
  • com.fattystudio.pictureeditor
  • com.gig.wifidoctor
  • com.minibackup.contacttranfer
  • com.greenapp.voicerecorder
  • com.glade.batterysaver
  • com.beatstudio.awcapture
  • com.mothrrmobile.volume
  • com.trueapplab.fastlauncher
  • net.camspecial.clonecamera
  • com.sunny.text2photo
  • com.converttool.videomp3
  • com.foto.proeditor
  • com.appworks.djmixonline
  • com.appworksui.myfonts
  • com.appworks.crackyourscreen
  • com.appworkscontact.instadownloader
  • com.rartool.superextract
  • com.easytool.screenoff
  • net.electronic.alarmclock
  • com.finchpeach.heartrate
  • com.finchpeach.weatherpro
  • net.dotcom.cpuinfo
  • com.finchpeach.wifihotspotfree
  • net.brscreen.filter
  • com.evin.translator
  • com.dorilradio.ua
  • com.dorilradio.ir
  • com.dorilradio.pk
  • com.dorilradio.sm
  • com.dorilradio.me
  • com.dorilradio.sv
  • com.dorilradio.sr
  • com.dorilradio.sk
  • com.dorilradio.sl
  • com.dorilradio.sg
  • com.dorilradio.py
  • com.dorilradio.pr
  • com.dorilradio.pa
  • com.dorilradio.mc
  • com.dorilradio.lu
  • com.dorilradio.lt
  • com.dorilradio.lv
  • com.dorilradio.li
  • com.dorilradio.de
  • com.dorilradio.kr
  • com.dorilradio.is
  • com.dorilradio.il
  • com.dorilradio.hn
  • com.dorilradio.ht
  • com.dorilradio.gh
  • com.dorilradio.hn
  • com.dorilradio.ht
  • com.dorilradio.gh
  • com.dorilradio.ec
  • com.dorilradio.fi
  • com.dorilradio.doo
  • com.dorilradio.cz
  • com.dorilradio.cy
  • com.dorilradio.cr
  • com.dorilradio.bo
  • com.dorilradio.th
  • com.dorilradio.br
  • com.dorilradio.gr
  • com.dorilradio.es
  • com.dorilradio.nl
  • com.dorilradio.be
  • com.dorilradio.id
  • com.dorilradio.pl
  • com.dorilradio.tr
  • com.dorilradio.mx
  • com.dorilradio.gt
  • com.dorilradio.hu
  • com.dorilradio.nz
  • com.dorilradio.pt
  • com.dorilradio.ch
  • com.dorilradio.ro
  • com.dorilradio.rs
  • com.dorilradio.eg
  • com.dorilradio.lk
  • com.dorilradio.my
  • com.dorilradio.tn
  • com.dorilradio.tw
  • com.dorilradio.no
  • com.dorilradio.za
  • com.dorilradio.ba
  • com.dorilradio.bg
  • com.dorilradio.hr
  • com.dorilradio.dk
  • com.dorilradio.in
  • com.dorilradio.ie
  • com.dorilradio.ph
  • com.dorilradio.ar
  • com.dorilradio.cl
  • com.dorilradio.co
  • com.dorilradio.ve
  • com.dorilradio.sn
  • com.dorilradio.uy
  • com.dorilradio.ma
  • com.dorilradio.se
  • com.dorilradio.ng
  • com.dorilradio.dz
  • com.dorilradio.ke
  • com.dorilradio.it
  • com.dorilradio.cn
  • com.dorilradio.ca
  • com.dorilradio.jp
  • com.dorilradio.fr
  • com.dorilradio.au
  • com.dorilradio.uk
  • com.dorilradio.us

Pomimo faktu, że Google Play jest oficjalnym i pewnym źródłem oprogramowania dla Androida, to różne trojany wciąż, co jakiś czas, są znajdowane w aplikacjach w Google Play. Dlatego specjaliści Doctor Web zalecają użytkownikom zwracanie szczególnej uwagi na negatywne opinie publikowane przez innych użytkowników i pobieranie oprogramowania stworzonego wyłącznie przez pewnych deweloperów. Produkty Dr.Web dla Androida z powodzeniem wykrywają i usuwają Android.Spy.305.origin, tym samym ten złośliwy program nie stanowi żadnego zagrożenia dla użytkowników oprogramowania Dr.Web.

Więcej na temat tego Trojana

0
Latest All news