Library
My library

+ Add to library

Profile

Wróć do listy aktualności

1,5 miliona użytkowników mogło ulec zainfekowaniu niebezpiecznym trojanem typu downloader dla Androida

24 lipca 2015, Warszawa

Mimo że Google Play jest oficjalnym zasobem internetowym, udostępniającym aplikacje dla urządzeń z systemem Android, to i tak potrafi być źródłem potencjalnie niebezpiecznych lub złośliwych programów. W tym tygodniu jeden z takich programów został wykryty przez analityków bezpieczeństwa Doctor Web.

Złośliwy program, nazwany Android.DownLoader.171.origin, jest dystrybuowany jako aplikacja KKBrowser. Wnioskując ze statystyk Google Play, został on pobrany od 100 000 do 500 000 razy. Natomiast biorąc pod uwagę chińskie strony, również hostujące ten złośliwy program (Baidu—880000, qq — 310 000, 360cn — 60 000, Wandoujia — 58 000 pobrań), sumaryczna liczba pobrań tej złośliwej aplikacji przekracza 1,5 miliona.

screen

Ponadto, użytkownicy w Indonezji również pobierają tego trojana, z wersji serwisu Google Play przeznaczonego dla tego kraju, co daje obecnie kolejne 1000 - 5000 pobrań.

Android.DownLoader.171.origin zawiera funkcje programu reklamowego i trojana typu downloader. Po zainstalowaniu, ten złośliwy program łączy się ze zdalnymi serwerami kontrolno-zarządzającymi i pobiera aplikacje określone przez cyberprzestępców. Ponadto, jeśli Android.DownLoader.171.origin posiada uprawnienia root'a, aplikacje te są instalowane automatycznie (w przeciwnym przypadku wyświetlane jest stosowne okno).

Trojan potrafi nie tylko instalować, ale również usuwać programy bez wiedzy użytkownika. I znów, jeśli Android.DownLoader.171.origin posiada pełne uprawnienia, programy są usuwane automatycznie (w przeciwnym wypadku użytkownik jest proszony o udzielenie zgody na taką operację). Dodatkowo, trojan potrafi wyświetlać na pasku statusu systemu fałszywe powiadomienia e-mail. Jeśli użytkownik kliknie takie powiadomienie, w oknie przeglądarki zostanie załadowana strona www określona przez cyberprzestępców.

Złośliwy program skanuje system pod kątem obecności chińskiego oprogramowania antywirusowego i wysyła na serwer różne informacje dotyczące zaatakowanego urządzenia (takie jak wybrany język i wersja systemu operacyjnego, dostępność uprawnień administratora, model urządzenia, rozdzielczość ekranu, IMEI i inne dane).

Doctor Web podkreśla, że nawet aplikacje pobierane z oficjalnych zasobów internetowych, mogą być niebezpieczne w użyciu. Tylko nowoczesne rozwiązania antywirusowe mogą zapewnić ochronę przed złośliwymi programami atakującymi użytkowników nawet z oficjalnych i pozornie bezpiecznych źródeł.

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments