Минск   -0 °C
Пятница  22.03
   3.24
   3.53

Android-троянцы, выполняющие несанкционированную установку приложений

23 мая, 2014

Роман Дубровский

Одна из самых популярных схем монетизации китайских Android-приложений – внедрение рекламных блоков и сторонних функций в различные программы, и «левый» почтовый клиент для андроида не исключение. Пользователи также часто сталкиваются с навязыванием программ – владельцы таких каталогов стараются максимально увеличить их посещаемость. Для этого злоумышленники часто используют вредоносные утилиты-загрузчики. Группу именно таких троянских программ выявили специалисты «Доктор Веб».

Основную позицию среди этих приложений занимает утилита Android.DownLoader.49.origin, которая представляет собой типичную Android-программу. После инсталляции в роли системного сервиса она соединяется с внешним сервером для получения заранее подготовленного списка файлов, которые необходимо загрузить на мобильное устройство. Среди них присутствуют архивы с dex-файлами, которые переносятся на карту памяти (в папку /cache/sysjar/) и загружаются в ОЗУ. Один из исполнительных файлов представляет собой стандартный загрузчик, занесенный в базу компании как Android.DownLoader.43.origin. Модуль способен загружать различные программы, включая вредоносные.

Кроме вышеупомянутых архивов, вредоносная утилита может загружать и другие утилиты, которые инсталлируются без разрешения пользователя. В случае, если root-права отсутствуют, обладатель устройства увидит системный запрос на продолжение установки загруженной утилиты.

Android.DownLoader.43.origin, в свою очередь, также способен связываться с управляющим сервером для получения перечня файлов для загрузки и инсталляции. Примечательно, что в данном списке часто присутствуют другие вредоносные загрузчики, которые имеют схожий алгоритм работы. Таким образом, вирусописателям удалось сформировать цепочку вредоносных программ, которые распространяют как аналогичные вирусы, так и сторонние приложения. Специалистам удалось обнаружить и изучит около 10 таких загрузчиков, а общее количество программ на сервере, который принадлежит злоумышленникам, выявлено около 600 различных приложений, предназначенных для несанкционированной инсталляции.

По мнению специалистов, наиболее вероятный мотив запуска данной схемы – массовая установка различных программ на мобильные устройства с целью получения прибыли. Однако кроме безвредных программ с сервера могут устанавливаться и вредоносные файлы (шпионские, SMS-троянцы и т.д.).

Adblock
detector