Trojanac pronađen u 155 aplikacija na Google Play, inficirano 2,8 miliona Android uređaja

Mobilni telefoni, 02.08.2016, 01:00 AM

Stručnjaci ruske kompanije Doctor Web otkrili su trojanca u Google Play prodavnici koji prikazuje reklame i krade privatne informacije od korisnika. Ovaj malver je pronađen u 155 aplikacija dostupnih u Play prodavnici koje je do sada preuzelo više od 2,8 miliona korisnika.

Trojanac koji je nazvan Android.Spy.305.origin je nova verzija trojanca Android.Spy. Poslednji put ovaj trojanac je primećen u aprilu ove godine. Tada su stručnjaci Doctor Weba pronašli Android.Spy.277 u 104 aplikacije u Google Play prodavnici koje su bile preuzete 3,2 miliona puta.

Aplikacije koje sadrže Android.Spy.305.origin potpisuju: MacMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps, i Mothrr Mobile Apps.

Među malicioznim aplikcijama su animirane pozadine, katalozi slika, uslužne aplikacije, editori fotografija, radio aplikacije i mnoge druge.

Iako je Doctor Web informisao Google o aplikacijama koje sadrže Android.Spy.305.origin, mnoge od njih se i dalje mogu preuzeti iz Play prodavnice.

Kada se jedna od inficiranih aplikacija pokrene, Android.Spy.305.origin se povezuje sa svojim komandno-kontrolnim serverom (C&C server) i dobija komandu da preuzme dodatni modul - Android.Spy.306.origin. Ova komponenta sadrži glavni maliciozni payload.

Trojanac tada šalje C&C serveru email adresu povezanu sa Google nalogom korisnika, spisak instaliranih aplikacija, trenutni jezik sistema, naziv proizvođača uređaja, model uređaja, IMEI identifikator, verziju operativnog sistema, rezoluciju ekrana, informacije o mobilnom operateru, naziv aplikacije koja sadrži trojanca, ID programera i verziju SDK.

Android.Spy.305.origin zatim počinje da dosađuje korisniku prikazujući reklame iznad pokrenutih aplikacija i interfejsa operativnog sistema. Pored toga, on podstiče korisnike da preuzimaju različite aplikacije i često koristi taktiku zastrašivanja da bi ih ubedio da su im uređaji inficirani malverima.

Za sada, ovaj trojanac je korišćen samo za prikazivanje reklama, i do sada nije krao osetljive podatke vlasnika inficiranih uređaja.

Uprkos činjenici da je Google Play zvanični i pouzdani izvor softvera za Android, različiti malveri se s vremena na vreme nađu u aplikacijama koje se mogu preuzeti iz Googleove prodavnice. Zbog toga stručnjaci Doctor Weba preporučuju korisnicima da obrate pažnju na negativne komentare drugih korisnika i da preuzimaju softver samo od pouzdanih programera.

Spisak sa nazivima inficiranih aplikacija možete naći na sajtu kompanije Doctor Web.