Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web wykrył trojana infiltrującego Sklep Play i w ukryciu ładującego aplikacje z Google Play

18 stycznia 2017

Pośród dużej różnorodności trojanów dla Androida, złośliwe programy potrafiące w skrycie pobierać mobilne oprogramowanie rozpowszechniły się w bardzo szerokim stopniu. Pozwalają one cyberprzestępcom na uzyskiwanie dochodów za każdym razem, gdy te programy są z powodzeniem pobierane i instalowane na zaatakowanych urządzeniach. Jeden z takich trojanów wykryty przez analityków bezpieczeństwa Doctor Web infiltruje działający proces Sklepu Play i w ukryciu zwiększa całkowitą liczbę instalacji aplikacji Google Play.

Android.Skyfin.1.origin jest najprawdopodobniej rozpowszechniany poprzez pewne trojany z rodziny Android.DownLoader (na przykład Android.DownLoader.252.origin i Android.DownLoader.255.origin) które po zainfekowaniu smartfonów i tabletów uzyskują dostęp na poziomie root’a i w skrycie instalują złośliwe programy w katalogu systemowym. Ich kod zawiera ciągi znaków charakterystyczne dla Android.Skyfin.1.origin; tym samym bardzo prawdopodobne jest, że Android.Skyfin.1.origin jest dystrybuowany w szczególności przez jedną z wymienionych złośliwych aplikacji.

Gdy Android.Skyfin.1.origin zostanie uruchomiony, wstrzykuje dodatkowy moduł Android.Skyfin.2.origin w proces Sklepu Play. Wykrada on unikalny identyfikator urządzenia mobilnego i konto posiadacza urządzenia, które są używane do interakcji z usługami Google; wykrada również różne wewnętrze kody autoryzacyjne do łączenia się z katalogiem Google Play, jak i inne poufne dane. Następnie moduł wysyła te dane do głównego komponentu Android.Skyfin.1.origin, po czym trojan wysyła te dane na serwer kontrolno-zarządzający razem z informacjami technicznymi dotyczącymi urządzenia.

Używając zebranych danych Android.Skyfin.1.origin łączy się z katalogiem Google Play i symuluje działanie aplikacji Sklep Play. Trojan potrafi wykonywać następujące komendy:

  • /search – przeszukiwanie katalogu w celu zasymulowania sekwencji działań użytkownika;
  • /purchase – żądanie zakupu programu;
  • /commitPurchase – potwierdzenie zakupu;
  • /acceptTos – potwierdzenie zapoznania się z postanowieniami umowy licencyjnej;
  • /delivery – zażądanie linku do pobrania pliku APK z katalogu;
  • /addReview /deleteReview /rateReview - dodawanie, usuwanie i ocenianie recenzji;
  • /log – potwierdzenie pobrania programu w celu sztucznego powiększenia całkowitej liczby instalacji.

Gdy aplikacja określona przez cyberprzestępców zostanie pobrana, Android.Skyfin.1.origin nie instaluje jej, tylko zapisuje ją na karcie SD, dzięki czemu użytkownik nie może zobaczyć nowych programów które pojawiły się w systemie nie wiadomo skąd. W rezultacie trojan zwiększa swoje szanse na pozostanie niezauważonym i może kontynuować “pompowanie” całkowitej liczby instalacji w celu sztucznego zwiększania popularności aplikacji Google Play.

Analitycy bezpieczeństwa Doctor Web wykryli kilka modyfikacji Android.Skyfin.1.origin. Jedna z nich potrafi pobierać z Google Play tylko jedną aplikację - com.op.blinkingcamera. Trojan symuluje naciskanie bannera Google AdMob zawierającego reklamę tego programu, pobiera jego plik APK i automatycznie zwiększa całkowitą liczbę pobrań potwierdzając w serwerze Google dokonanie fałszywej instalacji. Inna modyfikacja Android.Skyfin.1.origin jest bardziej powszechna. Potrafi dokonać pobrania dowolnej aplikacji z katalogu. W tym celu cyberprzestępcy dostarczają trojanowi listę programów do pobrania.

Wszystkie znane modyfikacje Android.Skyfin.1.origin są z powodzeniem wykrywane przez Antywirusa Dr.Web dla Androida, tym samym posiadacze smartfonów i tabletów mogą sprawdzić swoje urządzenia pod kątem tego trojana. Jednakże z przyczyny, że Android.Skyfin.1.origin jest zainstalowany w katalogu systemowym, to jedynie Dr.Web Security Space dla Androida z włączonym dostępem na poziomie root’a jest zdolny do poradzenia sobie z tym rodzajem złośliwej aplikacji.

Więcej na temat tego trojana

Już teraz zabezpiecz swoje urządzenie z Androidem razem z Dr.Web

Kup online Kup poprzez Google Play Za darmo

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A