Ponad 100 aplikacji w Google Play zawiera spyware wyświetlające reklamy

Złośliwe programy dla Androida, wyświetlające reklamy i wyłudzające pieniądze, stają się coraz bardziej powszechne. Tym razem kolejny trojan z funkcjami szpiegującymi, nazwany Android.Spy.277.origin zainfekował ponad 100 aplikacji na Google Play.

Większość aplikacji użytych do dystrybucji Android.Spy.277.origin to fałszywe wersje wielu popularnych programów. Agresorzy wykorzystali nazwy i wygląd legalnych programów w celu przyciągnięcia uwagi użytkowników i zwiększenia liczby pobrań trojana. Wśród tych fałszywych aplikacji specjaliści Doctor Web znaleźli m.in. narzędzia, aplikacje do edycji zdjęć i tworzenia animowanych tapet, powłoki graficzne i inne programy. Co więcej, większość z nich nie posiada zdolności do wykonywania wymienionych zadań. Analitycy bezpieczeństwa Doctor Web zarejestrowali w sumie ponad 100 aplikacji zainfekowanych przez Android.Spy.277.origin, a liczba ich pobrań przekroczyła 3.200.000. Doctor Web poinformował już Google o tym incydencie. Dlatego niektóre z tych złośliwych programów nie są już w ogóle dostępne w Google Play.

Gdy tylko jedna z wymienionych wyżej złośliwych aplikacji zostanie uruchomiona, trojan przesyła na serwer następujące informacje o zainfekowanym urządzeniu:

• adres e-mail powiązany z kontem Google użytkownika
• identyfikator IMEI
• wersję systemu operacyjnego
• wersję SDK systemu
• model urządzenia
• rozdzielczość ekranu
• identyfikator Google Cloud Messaging (GCM id)
• numer telefonu komórkowego
• położenie geograficzne użytkownika (kraj)
• typ CPU
• adres MAC karty sieciowej
• parametr “user_agent” wygenerowany z użyciem specjalnego algorytmu
• nazwę operatora sieci mobilnej
• typ połączenia sieciowego
• podtyp sieci
• dostępność konta root’a
• informację, czy zainfekowana aplikacja posiada uprawnienia administracyjne
• nazwę zainfekowanej aplikacji
• obecność w urządzeniu aplikacji Google Play

Podczas każdorazowego uruchomienia zainstalowanej aplikacji, trojan wysyła ponownie wszystkie informacje wymienione powyżej, razem z nazwą tej aplikacji. Dodatkowo żąda jeszcze podesłania parametrów wymaganych do wyświetlania reklam. Android.Spy.277.origin potrafi wykonywać następujące komendy:

• “show_log” — włączenie lub wyłączenie logowania;
• “install_plugin” — instalowanie wtyczki ukrytej wewnątrz złośliwej aplikacji;
• “banner”, “interstitial”, “video_ads” — wyświetlanie różnych rodzajów reklam (włączając reklamy wyświetlane na wierzchu interfejsu systemu operacyjnego i innych aplikacji);
• “notification” — wyświetlanie powiadomienia z otrzymanymi parametrami;
• “list_shortcut” — tworzenie skrótów z otrzymanymi parametrami na ekranie domowym (naciśnięcie tych skrótów prowadzi do otworzenia określonych sekcji w Google Play);
• “redirect_gp” — otworzenie w Google Play strony www o określonym adresie;
• “redirect_browse” — otworzenie określonej strony www w preinstalowanej przeglądarce;
• “redirect_chrome” — otworzenie określonej strony www w Chrome;
• “redirect_fb” — otworzenie profilu na Facebooku określonego w parametrach komendy.

Jak można zobaczyć poniżej, trojan potrafi zastraszać użytkownika, na przykład rzekomo utrzymując, że bateria urządzenia jest uszkodzona i oferując pobranie niepożądanych aplikacji, które potencjalnie mogłyby naprawić ten problem:

Poniższe przykłady przedstawiają reklamy wyświetlane w pasku powiadomień i skróty do reklam. Naciśnięcie ich prowadzi do stron www dotyczących reklamowanych aplikacji opublikowanych w Google Play:

Warto zauważyć, że wtyczka ukryta w pakiecie programowym trojana posiada te same cechy jak sam Android.Spy.277.origin. Gdy trojan odbierze instrukcje z serwera, to próbuje zainstalować wtyczkę, ukrywając ją pod postacią rzekomej, ważnej aktualizacji. Zatem urządzenie zawiera w rzeczywistości dwie kopie Android.Spy.277.origin — nawet gdy oryginalna wersja trojana zostanie usunięta, to wciąż będzie istnieć jej kopia kontynuująca dostarczanie reklam.

Listę aplikacji, które są zainfekowane trojanem znajdziecie tutaj.