«Доктор Веб» обнаружил Android-программу для показа рекламы поверх большинства запускаемых приложений
26 нояб 2015 17:20 #28881
от ICT
ICT создал тему: «Доктор Веб» обнаружил Android-программу для показа рекламы поверх большинства запускаемых приложений
Специалисты компании «Доктор Веб» обнаружили троян Android.Spy.510, который устанавливает на Android-смартфоны и планшеты нежелательный программный модуль, показывающий рекламу поверх большинства запускаемых приложений. Об этом CNews сообщили в «Доктор Веб». Android.Spy.510 распространяется в модифицированном вирусописателями изначально безобидном мультимедийном проигрывателе, который злоумышленники назвали AnonyPlayer. Троянская версия плеера обладает всеми функциями оригинала и полностью работоспособна, поэтому у потенциальных жертв не должно возникнуть никаких подозрений относительно его возможной опасности. После установки и запуска Android.Spy.510 собирает и передает на управляющий сервер ряд конфиденциальных данных, включая логин пользователя от учетной записи Google Play, информацию о модели зараженного смартфона или планшета, версии SDK операционной системы, а также о наличии в ней root-доступа. Затем троян пытается инсталлировать скрытый в его ресурсах дополнительный программный пакет, который содержит основной вредоносный функционал, необходимый злоумышленникам. Для этого Android.Spy.510 демонстрирует специальное сообщение, в котором говорится о необходимости установить приложение AnonyService, якобы обеспечивающее анонимность пользователей и предотвращающее получение конфиденциальной информации третьими лицами. В действительности же данная программа не предоставляет подобного функционала и является рекламным модулем, внесенным в вирусную базу Dr.Web как Adware.AnonyPlayer.1.origin, указали в компании. Сразу после запуска Adware.AnonyPlayer.1.origin запрашивает у владельца мобильного устройства доступ к специальным возможностям операционной системы (Accessibility Service), после чего переходит в режим ожидания и начинает нежелательную деятельность лишь спустя несколько суток с момента своей инсталляции. Это сделано с целью уменьшения вероятности обнаружения пользователем источника нежелательной активности на зараженном устройстве. По прошествии заданного времени Adware.AnonyPlayer.1.origin, благодаря имеющимся в его распоряжении функциям Accessibility Service, начинает отслеживать все происходящие в системе события и ожидает момента, когда жертва запустит какое-либо приложение. Как только это происходит, модуль немедленно приступает к выполнению своей главной задачи — показу рекламы. Вначале Adware.AnonyPlayer.1.origin проверяет, находится ли соответствующая программа в «белом» списке, куда злоумышленники поместили ряд приложений (которые, по их мнению, не содержат функционал для демонстрации коммерческих предложений). Если Adware.AnonyPlayer.1.origin находит в этом списке соответствие, то он не предпринимает дальнейших действий, так как показ рекламы после старта «чистых» программ, среди которых немало системного и популярного прикладного ПО, может насторожить пользователя и привести к обнаружению ее истинного источника. Если же запускаемое приложение в данном списке отсутствует, Adware.AnonyPlayer.1.origin при помощи элемента WebView формирует специальное уведомление, которое отображается поверх окна начавшей работу программы и содержит указанную управляющим сервером рекламу. В результате владелец зараженного Android-смартфона или планшета может подумать, что источник навязчивых уведомлений — именно то приложение, которое он только что запустил. При этом, чтобы отвести все подозрения от своих «творений», вирусописатели позаботились о том, что при запуске как самого Adware.AnonyPlayer.1.origin, так и установившего его трояна Android.Spy.510 никакой рекламы не отображалось, отметили в «Доктор Веб». Специалисты «Доктор Веб» настоятельно рекомендуют владельцам Android-устройств устанавливать приложения, полученные только из надежных источников. Кроме того, пользователям следует с особой осторожностью относиться к программам, требующим предоставить им доступ к специальным возможностям операционной системы (Accessibility Service). Если вредоносное приложение его получит, оно сможет взаимодействовать с графическим интерфейсом (например, самостоятельно обрабатывать диалоговые окна) и даже перехватывать вводимую потенциальной жертвой информацию, работая как кейлоггер. В результате оно получит возможность похитить конфиденциальные данные, такие как переписка, поисковые запросы и даже пароли, пояснили в компании. Записи для детектирования трояна Android.Spy.510 и устанавливаемого им рекламного приложения Adware.AnonyPlayer.1.origin внесены в вирусную базу Dr.Web.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
| Тема | Релевантность | Дата |
|---|---|---|
| «Доктор Веб» обнаружил троянцев в прошивках популярных Android-устройств | 17.89 | Понедельник, 12 декабря 2016 |
| "Доктор Веб" обнаружил новые версии банковских троянов Android.BankBot | 17.7 | Понедельник, 27 апреля 2015 |
| «Доктор Веб» обнаружил многофункциональный бэкдор для Linux | 14.12 | Пятница, 22 января 2016 |
| «Доктор Веб» обнаружил более 500 мошеннических сайтов | 14.12 | Среда, 15 марта 2017 |
| «Доктор Веб» обнаружил новый бэкдор для Linux | 14.12 | Понедельник, 20 ноября 2017 |
| «Доктор Веб» обнаружил очередной троян-шифровальщик для Linux | 13.97 | Четверг, 19 ноября 2015 |
| «Доктор Веб» обнаружил первого энкодера на Go и разработал дешифровку | 13.97 | Вторник, 11 октября 2016 |
| «Доктор Веб» обнаружил ботнет, атакующий российские банки | 13.97 | Понедельник, 14 ноября 2016 |
| «Доктор Веб» обнаружил ошибку в конфигурации оборудования провайдера услуг DNS-хостинга | 13.68 | Пятница, 08 апреля 2016 |
| «Доктор Веб» обнаружил в Google Play приложения с троянцем, загруженные более 2 млн раз | 13.68 | Понедельник, 13 ноября 2017 |