Złośliwe programy dla Androida, wyświetlające reklamy i wyłudzające pieniądze, stają się coraz bardziej powszechne. Tym razem kolejny trojan z funkcjami szpiegującymi, nazwany Android.Spy.277.origin zainfekował ponad 100 aplikacji na Google Play.
Większość aplikacji użytych do dystrybucji Android.Spy.277.origin to fałszywe wersje wielu popularnych programów. Agresorzy wykorzystali nazwy i wygląd legalnych programów w celu przyciągnięcia uwagi użytkowników i zwiększenia liczby pobrań trojana. Wśród tych fałszywych aplikacji specjaliści Doctor Web znaleźli m.in. narzędzia, aplikacje do edycji zdjęć i tworzenia animowanych tapet, powłoki graficzne i inne programy. Co więcej, większość z nich nie posiada zdolności do wykonywania wymienionych zadań. Analitycy bezpieczeństwa Doctor Web zarejestrowali w sumie ponad 100 aplikacji zainfekowanych przez Android.Spy.277.origin, a liczba ich pobrań przekroczyła 3.200.000. Doctor Web poinformował już Google o tym incydencie. Dlatego niektóre z tych złośliwych programów nie są już w ogóle dostępne w Google Play.
Gdy tylko jedna z wymienionych wyżej złośliwych aplikacji zostanie uruchomiona, trojan przesyła na serwer następujące informacje o zainfekowanym urządzeniu:
- adres e-mail powiązany z kontem Google użytkownika
- identyfikator IMEI
- wersję systemu operacyjnego
- wersję SDK systemu
- model urządzenia
- rozdzielczość ekranu
- identyfikator Google Cloud Messaging (GCM id)
- numer telefonu komórkowego
- położenie geograficzne użytkownika (kraj)
- typ CPU
- adres MAC karty sieciowej
- parametr “user_agent” wygenerowany z użyciem specjalnego algorytmu
- nazwę operatora sieci mobilnej
- typ połączenia sieciowego
- podtyp sieci
- dostępność konta root’a
- informację, czy zainfekowana aplikacja posiada uprawnienia administracyjne
- nazwę zainfekowanej aplikacji
- obecność w urządzeniu aplikacji Google Play
Podczas każdorazowego uruchomienia zainstalowanej aplikacji, trojan wysyła ponownie wszystkie informacje wymienione powyżej, razem z nazwą tej aplikacji. Dodatkowo żąda jeszcze podesłania parametrów wymaganych do wyświetlania reklam. Android.Spy.277.origin potrafi wykonywać następujące komendy:
- “show_log” — włączenie lub wyłączenie logowania;
- “install_plugin” — instalowanie wtyczki ukrytej wewnątrz złośliwej aplikacji;
- “banner”, “interstitial”, “video_ads” — wyświetlanie różnych rodzajów reklam (włączając reklamy wyświetlane na wierzchu interfejsu systemu operacyjnego i innych aplikacji);
- “notification” — wyświetlanie powiadomienia z otrzymanymi parametrami;
- “list_shortcut” — tworzenie skrótów z otrzymanymi parametrami na ekranie domowym (naciśnięcie tych skrótów prowadzi do otworzenia określonych sekcji w Google Play);
- “redirect_gp” — otworzenie w Google Play strony www o określonym adresie;
- “redirect_browse” — otworzenie określonej strony www w preinstalowanej przeglądarce;
- “redirect_chrome” — otworzenie określonej strony www w Chrome;
- “redirect_fb” — otworzenie profilu na Facebooku określonego w parametrach komendy.
Jak można zobaczyć poniżej, trojan potrafi zastraszać użytkownika, na przykład rzekomo utrzymując, że bateria urządzenia jest uszkodzona i oferując pobranie niepożądanych aplikacji, które potencjalnie mogłyby naprawić ten problem:
Poniższe przykłady przedstawiają reklamy wyświetlane w pasku powiadomień i skróty do reklam. Naciśnięcie ich prowadzi do stron www dotyczących reklamowanych aplikacji opublikowanych w Google Play:
Warto zauważyć, że wtyczka ukryta w pakiecie programowym trojana posiada te same cechy jak sam Android.Spy.277.origin. Gdy trojan odbierze instrukcje z serwera, to próbuje zainstalować wtyczkę, ukrywając ją pod postacią rzekomej, ważnej aktualizacji. Zatem urządzenie zawiera w rzeczywistości dwie kopie Android.Spy.277.origin — nawet gdy oryginalna wersja trojana zostanie usunięta, to wciąż będzie istnieć jej kopia kontynuująca dostarczanie reklam.
Listę aplikacji, które są zainfekowane trojanem znajdziecie tutaj.
