Trojan dla Androida naciąga użytkowników na instalowanie aplikacji z Google Play

29 kwietnia 2016

Google Play jest najbardziej godnym zaufania sklepem z aplikacjami dla urządzeń z Androidem. Mimo to, od czasu do czasu zdarza się, że różne złośliwe programy są wykrywane i w tym sklepie. Analitycy bezpieczeństwa Doctor Web wykryli ostatnio 190 aplikacji zainfekowanych wirusem Android.Click.95, zagrażającym użytkownikom poprzez instalację aplikacji „rekomendowanych” wcześniej fałszywymi ostrzeżeniami i komunikatami o nieistniejących błędach.

Wszystkie aplikacje zawierające Android.Click.95 mają dość prostą architekturę. Typowo są to aplikacje służące rozrywce, takie jak poradniki, horoskopy, senniki, zbiory dowcipów i innych informacji na wszystkie okazje którymi obecny Internet jest wprost zalewany. Analitycy bezpieczeństwa Doctor Web wykryli ponad 190 of takich aplikacji w Google Play, dystrybuowanych przez następujących deweloperów: allnidiv, malnu3a, mulache, Lohari, Kisjhka i PolkaPola. Co więcej i co gorsza, przynajmniej 140000 użytkowników zainstalowało już te złośliwe aplikacje. Poinformowaliśmy Google o tym incydencie, ale większość tych programów jest wciąż dostępna do pobrania.

Gdy Android.Click.95 znajdzie się na urządzeniu, to rozpoczyna wykonywanie swojej złośliwej aktywności nie od razu po swojej instalacji i uruchomieniu programu, ale 6 godzin później, próbując ukryć prawdziwe źródło infekcji. Po 6-cio godzinnym oczekiwaniu Android.Click.95 sprawdza czy zainfekowane urządzenie ma zainstalowaną aplikację określoną w konfiguracji trojana. Jeśli dana aplikacja nie zostanie wykryta, Android.Click.95 otwiera fałszywą stronę www zachęcającą użytkownika do wybrania innej przeglądarki, ponieważ obecnie używana jest rzekomo niebezpieczna w użyciu. Jeśli żądana aplikacja jest zainstalowana w urządzeniu, trojan wyświetla inne fałszywe ostrzeżenie, na przykład o niesprawności baterii.

Aby rozwiązać niespodziewany problem o którym użytkownik nie miał nawet pojęcia, ofiara musi, rzecz jasna, zainstalować fałszywą aplikację, a żeby zagwarantować sobie pobranie oferowanej aplikacji, Android.Click.95 wyświetla fałszywą stronę www co 2 minuty, czyniąc normalne użytkowanie urządzenia praktycznie niemożliwym.

Jeśli użytkownik zdecyduje się na pobranie złośliwej aplikacji, to jest przekierowywany do sklepu Google Play, prosto do sekcji w której znajduje się ta aplikacja. Za każde pobranie oszuści otrzymują udział z zysków, zgodnie z postanowieniami umowy partnerskiej (umowy o świadczenie reklamy). Wyjaśnia to dlaczego Android.Click.95 jest tak bardzo rozpowszechniony — cyberprzestępcy próbują z tych pobrań osiągnąć tak duży zysk, jak to tylko możliwe.

Doctor Web stanowczo zaleca użytkownikom Androida zachowanie wzmożonej ostrożności i nie instalowanie podejrzanych aplikacji, nawet jeśli są one dystrybuowane poprzez Google Play. Antywirusy Dr.Web dla Androida z powodzeniem wykrywają i usuwają trojana Android.Click.95 i tym samym ten złośliwy program nie stanowi zagrożenia dla naszych użytkowników.