28 lipca 2016

Specjaliści Doctor Web wykryli trojana w Google Play wyświetlającego denerwujące reklamy i wykradającego prywatne dane użytkowników. To malware zostało wbudowane w ponad 150 aplikacji dla Androida, które zostały pobrane przez ponad 2,8 miliona użytkowników.

Trojan, nazwany Android.Spy.305.origin, został opracowany jako reklamowa platforma SDK używana do generowania dochodów z pobierania aplikacji. Specjaliści Doctor Web zarejestrowali przynajmniej siedmiu deweloperów którzy wbudowali Android.Spy.305.origin do swoich aplikacji: MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps i Mothrr Mobile Apps.

Pośród tych złośliwych aplikacji można znaleźć “żywe” tapety, katalogi obrazów, programy narzędziowe, edytory zdjęć, aplikacje typu radio FM, i inne. Jak dotąd analitycy bezpieczeństwa Doctor Web zarejestrowali 155 niebezpiecznych aplikacji, które zostały pobrane już ponad 2,8 miliona razy. Mimo że nasza firma poinformowała Google o tym, które aplikacje zawierają Android.Spy.305.origin, wiele z nich jest wciąż dostępne do pobrania.

Gdy jedna z tych aplikacji zostanie uruchomiona, Android.Spy.305.origin podłącza się do swojego serwera kontrolno-zarządzającego (C&C) i otrzymuje polecenie pobrania dodatkowego modułu — Android.Spy.306.origin. Ten komponent zawiera główny złośliwy “arsenał” używany przez Android.Spy.305.origin z pomocą klasy DexClassLoader.

Następnie trojan wysyła na serwer C&C następujące dane:

• Adres e-mail podłączony do konta Google użytkownika
• Listę zainstalowanych aplikacji
• Bieżący język systemowy
• Nazwę producenta urządzenia
• Model urządzenia mobilnego
• Identyfikator IMEI
• Wersję systemu operacyjnego
• Rozdzielczość ekranu
• Nazwę operatora sieci mobilnej
• Nazwę aplikacji zawierającej trojana
• ID dewelopera
• Wersję platformy SDK

Następnie Android.Spy.305.origin rozpoczyna dostarczanie denerwujących reklam wyświetlając je na wierzchu uruchomionych aplikacji i interfejsu systemu operacyjnego. Dodatkowo potrafi zachęcać użytkowników do pobrania różnego oprogramowania i usiłuje ich przestraszyć przekonując, że ich urządzenia zostały zainfekowane różnymi programami malware.

Android.Spy.305.origin został znaleziony w następujących programach:

• com.greenapp.slowmotion
• com.maxmitek.livewallpapernight
• com.asem.contactfilter
• com.allinOne.openquickly
• com.dorilradio.pe
• com.fusianart.takescreenshots
• com.maxmitek.livewallpapergod
• com.gigmobile.booster
• com.mobilescreen.recorder
• com.mobilescreen.capture
• com.fattys.automaticcallrecording
• com.maxmitek.livewallpaperbutterfly
• com.lollicontact.caller
• com.fusianart.doubletapscreen
• com.maxmitek.livewallpaperrain
• com.dorilradio.ru
• com.appworks.browser
• com.maxmitek.livewallpaperwinter
• com.sgfatty.videoplayerpro
• com.trueapppower.battery
• com.fattystudiocontacts.bassbooster
• com.mobiletool.rootchecker
• com.magicapp.reversevideo
• com.maxmitek.livewallpaperchristmas
• com.live3d.wallpaperlite
• com.maxmitek.flowerwallpaper
• com.maxmitek.livewallpaperaquariumfishfish
• com.maxmitek.nightwallpapers
• com.vmh.crackyourscreen
• com.nicewallpaper.s6wallpaper
• com.maxmitek.sunsetwallpaper
• com.nicewallpaper.supercar
• com.maxmitek.lovewallpaper
• com.maxmitek.livewallpaperdolphins
• com.nicewallpaper.beautigirl
• com.maxmitek.beachwallpaper
• com.maxmitek.livewallpapernewyear
• com.maxmitek.livewallpapergalaxy
• com.maxmitek.livewallpaper3d
• com.maxmitek.livewallpaperwaterfall
• com.maxmitek.wallpaperhalloween
• com.maxmitek.catwallpaper
• com.fattysgui.beautyfont
• com.fattystudioringtone.mp3cutter
• com.fattystudio.convertertomp3
• com.fattystudio.pictureeditor
• com.gig.wifidoctor
• com.minibackup.contacttranfer
• com.greenapp.voicerecorder
• com.glade.batterysaver
• com.beatstudio.awcapture
• com.mothrrmobile.volume
• com.trueapplab.fastlauncher
• net.camspecial.clonecamera
• com.sunny.text2photo
• com.converttool.videomp3
• com.foto.proeditor
• com.appworks.djmixonline
• com.appworksui.myfonts
• com.appworks.crackyourscreen
• com.appworkscontact.instadownloader
• com.rartool.superextract
• com.easytool.screenoff
• net.electronic.alarmclock
• com.finchpeach.heartrate
• com.finchpeach.weatherpro
• net.dotcom.cpuinfo
• com.finchpeach.wifihotspotfree
• net.brscreen.filter
• com.evin.translator
• com.dorilradio.ua
• com.dorilradio.ir
• com.dorilradio.pk
• com.dorilradio.sm
• com.dorilradio.me
• com.dorilradio.sv
• com.dorilradio.sr
• com.dorilradio.sk
• com.dorilradio.sl
• com.dorilradio.sg
• com.dorilradio.py
• com.dorilradio.pr
• com.dorilradio.pa
• com.dorilradio.mc
• com.dorilradio.lu
• com.dorilradio.lt
• com.dorilradio.lv
• com.dorilradio.li
• com.dorilradio.de
• com.dorilradio.kr
• com.dorilradio.is
• com.dorilradio.il
• com.dorilradio.hn
• com.dorilradio.ht
• com.dorilradio.gh
• com.dorilradio.hn
• com.dorilradio.ht
• com.dorilradio.gh
• com.dorilradio.ec
• com.dorilradio.fi
• com.dorilradio.doo
• com.dorilradio.cz
• com.dorilradio.cy
• com.dorilradio.cr
• com.dorilradio.bo
• com.dorilradio.th
• com.dorilradio.br
• com.dorilradio.gr
• com.dorilradio.es
• com.dorilradio.nl
• com.dorilradio.be
• com.dorilradio.id
• com.dorilradio.pl
• com.dorilradio.tr
• com.dorilradio.mx
• com.dorilradio.gt
• com.dorilradio.hu
• com.dorilradio.nz
• com.dorilradio.pt
• com.dorilradio.ch
• com.dorilradio.ro
• com.dorilradio.rs
• com.dorilradio.eg
• com.dorilradio.lk
• com.dorilradio.my
• com.dorilradio.tn
• com.dorilradio.tw
• com.dorilradio.no
• com.dorilradio.za
• com.dorilradio.ba
• com.dorilradio.bg
• com.dorilradio.hr
• com.dorilradio.dk
• com.dorilradio.in
• com.dorilradio.ie
• com.dorilradio.ph
• com.dorilradio.ar
• com.dorilradio.cl
• com.dorilradio.co
• com.dorilradio.ve
• com.dorilradio.sn
• com.dorilradio.uy
• com.dorilradio.ma
• com.dorilradio.se
• com.dorilradio.ng
• com.dorilradio.dz
• com.dorilradio.ke
• com.dorilradio.it
• com.dorilradio.cn
• com.dorilradio.ca
• com.dorilradio.jp
• com.dorilradio.fr
• com.dorilradio.au
• com.dorilradio.uk
• com.dorilradio.us

Pomimo faktu, że Google Play jest oficjalnym i pewnym źródłem oprogramowania dla Androida, to różne trojany wciąż, co jakiś czas, są znajdowane w aplikacjach w Google Play. Dlatego specjaliści Doctor Web zalecają użytkownikom zwracanie szczególnej uwagi na negatywne opinie publikowane przez innych użytkowników i pobieranie oprogramowania stworzonego wyłącznie przez pewnych deweloperów. Produkty Dr.Web dla Androida z powodzeniem wykrywają i usuwają Android.Spy.305.origin, tym samym ten złośliwy program nie stanowi żadnego zagrożenia dla użytkowników oprogramowania Dr.Web.

Więcej na temat tego Trojana