Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web odkrywa trojana potrafiącego kupować aplikacje w Google Play

4 sierpnia 2016

Ze wszystkich obecnie istniejących złośliwych aplikacji dla Androida, trojany wyświetlające denerwujące reklamy stały się najbardziej popularne wśród przestępców. Niektóre z tych trojanów posiadają dodatkowe możliwości, takie jak pobieranie i instalowanie programów oraz wykradanie prywatnych informacji użytkownika. Jeden z takich trojanów wykryty przez specjalistów Doctor Web potrafi, w określonych okolicznościach, kupować i instalować aplikacje z serwisu Google Play.

Ten trojan, nazwany Android.Slicer.1.origin, jest zazwyczaj instalowany na urządzeniu przez inne złośliwe programy i realizuje funkcje specyficzne dla popularnych narzędzi serwisowych i oprogramowania typu SEO (Search Engine Optimization). W szczególności, Android.Slicer.1.origin potrafi wyświetlić informacje o zużyciu pamięci RAM i zakończyć pracę uruchomionych procesów. Dodatkowo pozwala na włączanie lub wyłączanie modułów Bluetooth i Wi-Fi. Ten trojan nie tworzy skrótu na ekranie, więc użytkownik nie może samodzielnie uruchomić tej aplikacji.

screen #drweb screen #drweb screen #drweb

Mimo że trojan może wyglądać na zupełnie niegroźną aplikację, to realizuje typowe funkcje programu reklamowego. Zatem, gdy Android.Slicer.1.origin zostanie uruchomiony, lub gdy ekran domowy urządzenia zostanie włączony lub wyłączony, lub gdy moduł Wi-Fi zostanie dezaktywowany, trojan przesyła (na serwer kontrolno-zarządzający – C&C) informacje o identyfikatorze IMEI zainfekowanego urządzenia, adresie MAC adaptera Wi-Fi, nazwie producenta urządzenia i o wersji systemu operacyjnego. W rezultacie serwer C&C odpowiada mu następującymi instrukcjami:

  • Dodaj skrót do ekranu domowego
  • Wyświetl reklamę
  • Otwórz strony www z reklamami w przeglądarce lub w aplikacji Google Play

screen #drweb screen #drweb

Jednakże, Android.Slicer.1.origin potrafi również instalować określone aplikacje, włączając również i te płatne. W tym celu wykorzystuje kolejnego trojana — Android.Rootkit.40, podobnego do narzędzia SU, używanego do pracy z uprawnieniami root’a. Jeśli Android.Rootkit.40 znajduje się w katalogu /system/bin, Android.Slicer.1.origin może automatycznie kupować i instalować aplikacje z Google Play.

W tym celu, Android.Slicer.1.origin otwiera sekcję jednej z określonych aplikacji i, korzystając z uprawnień root’a Android.Rootkit.40, uruchamia standardowe narzędzie uiautomator. W ten sposób trojan uzyskuje informacje o wszystkich oknach i elementach interfejsu wyświetlonych w danej chwili na ekranie. Następnie Android.Slicer.1.origin przeszukuje je pod kątem informacji o przyciskach posiadających identyfikatory com.android.vending:id/buy_button (przyciski “Kup” i “Instaluj”) i com.android.vending:id/continue_button (“Kontynuuj”), określając położenie ich środków i rozpoczyna naciskanie ich aż do chwili, gdy znikną z ekranu. Dlatego Android.Slicer.1.origin potrafi postępować zgodnie z komendami hakerów w celu automatycznego zakupu prawie każdego płatnego programu i pobrania darmowych wersji aplikacji, a wszystko to bez wiedzy użytkownika.

Niemniej jednak zdolności trojana do skrytego zakupu i instalowania aplikacji są ograniczone. Po pierwsze, Android.Slicer.1.origin używa tylko tych identyfikatorów przycisków które występują w Androidzie w wersji 4.3 i nowszych. Po drugie, Android.Rootkit.40 nie może działać na urządzeniach z włączonym modułem SELinux, np. z Androidem 4.4 i nowszymi. Tym samym, Android.Slicer.1.origin może kupować i pobierać inne programy tylko gdy zainfekowane urządzenie działa pod kontrolą Androida 4.3.

Produkty Dr.Web dla Androida z powodzeniem wykrywają i usuwają wirusa Android.Slicer.1.origin, tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A