10 listopada 2016
Android.MulDrop.924 rozpowszechnia się poprzez Google Play jako aplikacja nazwana “Multiple Accounts: 2 Accounts”, która do tej pory została pobrana ponad milion razy. Ten złośliwy program ułatwia równoległe używanie wielu kont użytkownika, głównie w grach i w innych programach zainstalowanych na urządzeniu. Jednakże, mimo że wygląda na niegroźną, to ta aplikacja skrywa w sobie złośliwe funkcjonalności o których ofiary nie są informowane. Analitycy bezpieczeństwa Doctor Web ostrzegli już Google o tym incydencie, jednakże w chwili opublikowania tej wiadomości Android.MulDrop.924 był wciąż dostępny do pobrania.
Trojan ma unikalną, modułową architekturę. Część jego funkcjonalności jest zlokalizowana w dwóch modułach pomocniczych, które są zaszyfrowane i ukryte wewnątrz obrazu PNG w katalogu zasobów wirusa Android.MulDrop.924. Uruchomiony, trojan wypakowuje i kopiuje te moduły do swojego katalogu lokalnego w sekcji /data, a następnie ładuje je do pamięci.
Jeden z tych komponentów realizuje nie tylko niegroźne funkcje, ale również zawiera kilka wtyczek reklamowych używanych przez autorów trojana do generowania dochodu. Jednym z nich jest też złośliwy moduł Android.MulDrop.924 — w skrycie pobiera on aplikacje i zaprasza użytkowników do ich instalacji. Dodatkowo potrafi wyświetlać reklamy w pasku statusowym urządzenia.
Oprócz Google Play, Android.MulDrop.924 jest rozpowszechniany poprzez inne sklepy z aplikacjami. Jedna z jego modyfikacji jest wbudowana we wcześniejszą wersję aplikacji “Multiple Accounts: 2 Accounts”. Jest podpisana certyfikatem pochodzącym od firmy trzeciej i, podobnie jak moduł Android.DownLoader.451.origin, zawiera dodatkową złośliwą wtyczkę Android.Triada.99, która pobiera exploity w celu uzyskania uprawnień root’a na zainfekowanym urządzeniu. Ten moduł potrafi również pobierać i instalować inne aplikacje. Fakt, że ta modyfikacja jest podpisana innym certyfikatem świadczy o tym, że jest zmodyfikowana i dystrybuowana przez inną grupę agresorów, niezależną od twórców oryginalnego trojana.
Dr.Web dla Androida z powodzeniem wykrywa wszystkie znane wersje Android.MulDrop.924 i jego komponentów, nie stanowią więc one żadnego zagrożenia dla naszych użytkowników.
Tell us what you think
You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments