Android.Skyfin.1.origin внедряется в Play Маркет и качает ПО

Срeди бeсчислeнныx Android-трoянцeв ширoкoe рaспрoстрaнeниe пoлучили врeдoнoсы, кoтoрыe нeзaмeтнo зaгружaют ПO нa мoбильныe устрoйствa. С иx пoмoщью злoумышлeнники пoлучaют вoзнaгрaждeниe зa кaждoe успeшнoe скaчивaниe или устaнoвку тoгo или инoгo прилoжeния. Oдин из тaкиx трoянцeв, Android.Skyfin.1.origin, кoтoрoгo oбнaружили экспeрты «Дoктoрa Вeб», внeдряeтся в aктивный прoцeсс прoгрaммы «Play Мaркeт» и нeзaмeтнo нaкручивaeт счeтчик устaнoвoк в кaтaлoгe Google Play.

Android.Skyfin.1.origin прeдпoлoжитeльнo пoпaдaeт на мобильные устройства благодаря некоторым троянцам семейства Android.DownLoader, которые после заражения смартфонов и планшетов пытаются получить root-доступ и скрытно устанавливают вредоносные программы в системный каталог. При запуске Android.Skyfin.1.origin внедряет в процесс программы «Play Маркет» вспомогательный троянский модуль, получивший имя Android.Skyfin.2.origin. Он крадет уникальный идентификатор мобильного устройства и учетной записи его владельца, которые используются при работе с сервисами Google, различные внутренние коды авторизации для подключения к каталогу Google Play и другие конфиденциальные данные. Затем модуль передает эти сведения основному компоненту троянца Android.Skyfin.1.origin, после чего тот вместе с технической информацией об устройстве отправляет их на управляющий сервер.

Используя собранные данные, Android.Skyfin.1.origin подключается к каталогу Google Play и имитирует работу приложения «Play Маркет». Троянец может выполнять поиск в каталоге для симуляции последовательности действий пользователя, запрос на покупку программ, подтверждение покупки, добавление, удаление и оценку отзывов, а также подтверждение скачивания программы, которое используется для накручивания счетчика установок.

После скачивания заданного злоумышленниками приложения Android.Skyfin.1.origin не устанавливает его, а лишь сохраняет на карту памяти, поэтому пользователь не видит новые программы, возникшие из ниоткуда. В результате троянец увеличивает свои шансы остаться незамеченным и может продолжать накручивать счетчик установок, искусственно повышая популярность приложений в Google Play.

Вирусные аналитики компании «Доктор Веб» выявили несколько модификаций Android.Skyfin.1.origin. Одна из них умеет скачивать из каталога Google Play единственное приложение - com.op.blinkingcamera. Троянец имитирует нажатие на баннер Google AdMob с рекламой этой программы, загружает ее apk-файл и автоматически увеличивает число загрузок, подтверждая «установку» на сервере Google. Другая модификация Android.Skyfin.1.origin более универсальна. Она может скачивать любые приложения из каталога - для этого троянец получает от злоумышленников список программ для загрузки.

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.