Рекламное Android-приложение «подставляет» другие программы

Специалисты компании «Доктор Веб» обнаружили троянец Android.Spy.510, который устанавливает на Android-смартфоны и планшеты нежелательный программный модуль, показывающий рекламу поверх большинства запускаемых приложений. Android.Spy.510 распространяется в модифицированном вирусописателями изначально безобидном мультимедийном проигрывателе, который злоумышленники назвали «AnonyPlayer». Троянская версия плеера обладает всеми функциями оригинала и полностью работоспособна.

После установки и запуска Android.Spy.510 собирает и передает на управляющий сервер ряд конфиденциальных данных, включая логин пользователя от учетной записи Google Play, информацию о модели зараженного смартфона или планшета, версии SDK операционной системы, а также о наличии в ней root-доступа. Затем троянец пытается инсталлировать скрытый в его ресурсах дополнительный программный пакет, который содержит основной вредоносный функционал. Для этого Android.Spy.510 демонстрирует специальное сообщение, в котором говорится о необходимости установить приложение AnonyService, якобы, обеспечивающее анонимность пользователей и предотвращающее получение конфиденциальной информации третьими лицами. В действительности же данная программа является рекламным модулем, внесенным в вирусную базу Dr.Web как Adware.AnonyPlayer.1.origin.

Сразу после запуска Adware.AnonyPlayer.1.origin запрашивает у владельца мобильного устройства доступ к специальным возможностям операционной системы (Accessibility Service), после чего переходит в режим ожидания и начинает нежелательную деятельность лишь спустя несколько суток с момента своей инсталляции. По прошествии заданного времени Adware.AnonyPlayer.1.origin начинает отслеживать все происходящие в системе события и ожидает момента, когда жертва запустит какое-либо приложение. Как только это происходит, модуль немедленно приступает к выполнению своей главной задачи - показу рекламы. В результате владелец зараженного Android-смартфона или планшета может подумать, что источник навязчивых уведомлений - именно то приложение, которое он только что запустил. При этом, чтобы отвести подозрения, вирусописатели позаботились о том, чтобы при запуске как самого Adware.AnonyPlayer.1.origin, так и установившего его троянца Android.Spy.510 никакой рекламы не отображалось.










Похожие статьи:
Привіт! Мене звати Олександр, я працюю full-stack розробником, пишу статті, допомагаю на StackOverflow і беру участь у кількох open-source проектах....
От редакции:В рубрике DOU Проектор все желающие могут презентовать свой продукт (как стартап, так и ламповый pet-проект). Если вам есть...
SQLSaturday Kyiv пройдёт в Киеве (да, знаю, неожиданно :)) 20 мая. Дмитрий Пилюгин снова начал вести свой крутой русскоязычный блог. Пол Рендал...
Ми поспілкувалися з IT-спеціалістами, які попрацювали в інших країнах, повернулися додому й готові розповісти про свій досвід....
В первой части я рассказал о своих общих впечатлениях о жизни в Штатах, о культуре и менталитете местных жителей. В этой...
Яндекс.Метрика