24 lipca 2015, Warszawa

Mimo że Google Play jest oficjalnym zasobem internetowym, udostępniającym aplikacje dla urządzeń z systemem Android, to i tak potrafi być źródłem potencjalnie niebezpiecznych lub złośliwych programów. W tym tygodniu jeden z takich programów został wykryty przez analityków bezpieczeństwa Doctor Web.

Złośliwy program, nazwany Android.DownLoader.171.origin, jest dystrybuowany jako aplikacja KKBrowser. Wnioskując ze statystyk Google Play, został on pobrany od 100 000 do 500 000 razy. Natomiast biorąc pod uwagę chińskie strony, również hostujące ten złośliwy program (Baidu—880000, qq — 310 000, 360cn — 60 000, Wandoujia — 58 000 pobrań), sumaryczna liczba pobrań tej złośliwej aplikacji przekracza 1,5 miliona.

Ponadto, użytkownicy w Indonezji również pobierają tego trojana, z wersji serwisu Google Play przeznaczonego dla tego kraju, co daje obecnie kolejne 1000 - 5000 pobrań.

Android.DownLoader.171.origin zawiera funkcje programu reklamowego i trojana typu downloader. Po zainstalowaniu, ten złośliwy program łączy się ze zdalnymi serwerami kontrolno-zarządzającymi i pobiera aplikacje określone przez cyberprzestępców. Ponadto, jeśli Android.DownLoader.171.origin posiada uprawnienia root'a, aplikacje te są instalowane automatycznie (w przeciwnym przypadku wyświetlane jest stosowne okno).

Trojan potrafi nie tylko instalować, ale również usuwać programy bez wiedzy użytkownika. I znów, jeśli Android.DownLoader.171.origin posiada pełne uprawnienia, programy są usuwane automatycznie (w przeciwnym wypadku użytkownik jest proszony o udzielenie zgody na taką operację). Dodatkowo, trojan potrafi wyświetlać na pasku statusu systemu fałszywe powiadomienia e-mail. Jeśli użytkownik kliknie takie powiadomienie, w oknie przeglądarki zostanie załadowana strona www określona przez cyberprzestępców.

Złośliwy program skanuje system pod kątem obecności chińskiego oprogramowania antywirusowego i wysyła na serwer różne informacje dotyczące zaatakowanego urządzenia (takie jak wybrany język i wersja systemu operacyjnego, dostępność uprawnień administratora, model urządzenia, rozdzielczość ekranu, IMEI i inne dane).

Doctor Web podkreśla, że nawet aplikacje pobierane z oficjalnych zasobów internetowych, mogą być niebezpieczne w użyciu. Tylko nowoczesne rozwiązania antywirusowe mogą zapewnić ochronę przed złośliwymi programami atakującymi użytkowników nawet z oficjalnych i pozornie bezpiecznych źródeł.