«Доктор Веб»: жарнамалық троян Google Play-ден 2 млн артық жүктелген

«Доктор Веб» компаниясының талдаушылары ресми каталогтың тоғыз қосымшасында Android.RemoteCode.106.origin (бұдан әрі RemoteCode) трояны айқындалғанын айтты. Жарнамалық зиянкес зақымдалған құрылғылардағы сайттарды байқатпай ашады, оларда орналасқан жарнамалық сілтемелер мен баннерлер бойынша өтеді, сондай-ақ интернет-ресурсқа келушілер санын көбейтеді. Бұдан басқа, теория бойынша троян фишингтік шабуылдар жүргізу мен құпия ақпаратты ұрлауда пайдаланылуы мүмкін.

Зерттеушілер троянды жалпы есеппен 2 370 000-нан 11 700 000 артық жүктеген тоғыз бағдарламаның құрамында айқындады. Осы материал жарияланған сәтте қосымшалардың бөлігі жаңартылған болатын, енді оларда троян жоқ. Дегенмен, қалған бағдарламаларда зиянды компонент бұрыңғыша орын алып, әлі де қауіп төндіреді. RemoteCode мынадай қосымшалардың құрамында табылды:

  • Sweet Bakery Match 3 – Swap and Connect 3 Cakes 0 нұсқасында;
  • Bible Trivia 1.8 нұсқасында;
  • Bible Trivia – FREE 2.4 нұсқасында;
  • Fast Cleaner light 1.0 нұсқасында;
  • Make Money 1.9;
  • Band Game: Piano, Guitar, Drum 47 нұсқасында;
  • Cartoon Racoon Match 3 — Robbery Gem Puzzle 2017 0.2 нұсқасында;
  • Easy Backup & Restore 4.9.15 нұсқасында;
  • Learn to Sing 1.2 нұсқасында.

Зерттеушілер малварь жаңа және көп қолданылмайтын құрылғыларға қызығушылық танытпайтынын атап көрсетеді. Осылай, белсенділіктің алдында зиянкес бірқатар тексерулерді орындайды. Егер зақымдалған құрылғыдағы суреттердің, телефон кітапшасындағы байланыстар мен шақырулар журналындағы қоңыраулар туралы жазбалардың белгілі саны болмаса, малварь өзін тіпті білдірмейді (құрылғыда кем едегенде 10 сурет, шақырулар журналында соңғы 3 күндегі қоңыраулар туралы 3 кем емес жазба және телефон нөмірлері бар кем дегенде 10 байланысушы болуы тиіс). Құрылғы малварьдің талаптарына жауап беретін болса, ол басқарушы серверге сұрау салу жіберіп, жауап хабарламасында алынған сілтеме бойынша өтуге әрекет жасайды.

Басқарушы серверден зиянкес өзі іске қосуы тиіс модульдердің тізімін көшіреді. Олардың біреуін Android.Click.200.origin сәйкестендіргіші алды. Бұл модуль браузерде мекенжайын оған командалық орталық беретін веб-сайтты автоматты ашады. Аталған функция интернет-ресурстарға кіру есептегішін көбейту, сондай-ақ троянға айлакерлік веб-парақшаны ашу тапсырмасы келіп түссе, фишингтік шабуылдар жасау үшін пайдаланылуы мүмкін.

Екінші модульді Android.Click.199.origin сәйкестендіргіші алыды және ол «Доктор Веб» вирустық базасына Android.Click.201.origin ретінде енгізілген үшінші компоненттің жұмысын қамтамасыз етеді. Android.Click.199.origin негізгі міндеті - Android.Click.201.origin модулін жүктеу, іске қосу және жаңарту.

Өз кезегінде Android.Click.201.origin модулі бастау алғаннан кейін басқарушы сервермен қосылып, одан тапсырмалар алады. Оларда малварь пайдаланушыға көрінбейтін WebView терезесінде ашатын веб-сайттардың мекенжайлары көрсетіледі. Мақсатты мекенжай бойынша өткеннен кейін зиянкес командада көрсетілген жарнамалық баннерді немесе ашық парақшаның кездейсоқ элементін өз бетінше басады. Бұл іс-қимылдар басулардың белгіленген санына жеткенге дейін қайталанады.


Ақпарат көзі: xakep.ru