«Доктор Веб» обнаружил Android-программу для показа рекламы поверх большинства запускаемых приложений

26 нояб 2015 17:20 #28881 от ICT
Специалисты компании «Доктор Веб» обнаружили троян Android.Spy.510, который устанавливает на Android-смартфоны и планшеты нежелательный программный модуль, показывающий рекламу поверх большинства запускаемых приложений. Об этом CNews сообщили в «Доктор Веб». Android.Spy.510 распространяется в модифицированном вирусописателями изначально безобидном мультимедийном проигрывателе, который злоумышленники назвали AnonyPlayer. Троянская версия плеера обладает всеми функциями оригинала и полностью работоспособна, поэтому у потенциальных жертв не должно возникнуть никаких подозрений относительно его возможной опасности. После установки и запуска Android.Spy.510 собирает и передает на управляющий сервер ряд конфиденциальных данных, включая логин пользователя от учетной записи Google Play, информацию о модели зараженного смартфона или планшета, версии SDK операционной системы, а также о наличии в ней root-доступа. Затем троян пытается инсталлировать скрытый в его ресурсах дополнительный программный пакет, который содержит основной вредоносный функционал, необходимый злоумышленникам. Для этого Android.Spy.510 демонстрирует специальное сообщение, в котором говорится о необходимости установить приложение AnonyService, якобы обеспечивающее анонимность пользователей и предотвращающее получение конфиденциальной информации третьими лицами. В действительности же данная программа не предоставляет подобного функционала и является рекламным модулем, внесенным в вирусную базу Dr.Web как Adware.AnonyPlayer.1.origin, указали в компании. Сразу после запуска Adware.AnonyPlayer.1.origin запрашивает у владельца мобильного устройства доступ к специальным возможностям операционной системы (Accessibility Service), после чего переходит в режим ожидания и начинает нежелательную деятельность лишь спустя несколько суток с момента своей инсталляции. Это сделано с целью уменьшения вероятности обнаружения пользователем источника нежелательной активности на зараженном устройстве. По прошествии заданного времени Adware.AnonyPlayer.1.origin, благодаря имеющимся в его распоряжении функциям Accessibility Service, начинает отслеживать все происходящие в системе события и ожидает момента, когда жертва запустит какое-либо приложение. Как только это происходит, модуль немедленно приступает к выполнению своей главной задачи — показу рекламы. Вначале Adware.AnonyPlayer.1.origin проверяет, находится ли соответствующая программа в «белом» списке, куда злоумышленники поместили ряд приложений (которые, по их мнению, не содержат функционал для демонстрации коммерческих предложений). Если Adware.AnonyPlayer.1.origin находит в этом списке соответствие, то он не предпринимает дальнейших действий, так как показ рекламы после старта «чистых» программ, среди которых немало системного и популярного прикладного ПО, может насторожить пользователя и привести к обнаружению ее истинного источника. Если же запускаемое приложение в данном списке отсутствует, Adware.AnonyPlayer.1.origin при помощи элемента WebView формирует специальное уведомление, которое отображается поверх окна начавшей работу программы и содержит указанную управляющим сервером рекламу. В результате владелец зараженного Android-смартфона или планшета может подумать, что источник навязчивых уведомлений — именно то приложение, которое он только что запустил. При этом, чтобы отвести все подозрения от своих «творений», вирусописатели позаботились о том, что при запуске как самого Adware.AnonyPlayer.1.origin, так и установившего его трояна Android.Spy.510 никакой рекламы не отображалось, отметили в «Доктор Веб». Специалисты «Доктор Веб» настоятельно рекомендуют владельцам Android-устройств устанавливать приложения, полученные только из надежных источников. Кроме того, пользователям следует с особой осторожностью относиться к программам, требующим предоставить им доступ к специальным возможностям операционной системы (Accessibility Service). Если вредоносное приложение его получит, оно сможет взаимодействовать с графическим интерфейсом (например, самостоятельно обрабатывать диалоговые окна) и даже перехватывать вводимую потенциальной жертвой информацию, работая как кейлоггер. В результате оно получит возможность похитить конфиденциальные данные, такие как переписка, поисковые запросы и даже пароли, пояснили в компании. Записи для детектирования трояна Android.Spy.510 и устанавливаемого им рекламного приложения Adware.AnonyPlayer.1.origin внесены в вирусную базу Dr.Web. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    «Доктор Веб» обнаружил троянцев в прошивках популярных Android-устройств17.91Понедельник, 12 декабря 2016
    "Доктор Веб" обнаружил новые версии банковских троянов Android.BankBot17.73Понедельник, 27 апреля 2015
    «Доктор Веб» обнаружил многофункциональный бэкдор для Linux14.14Пятница, 22 января 2016
    «Доктор Веб» обнаружил более 500 мошеннических сайтов14.14Среда, 15 марта 2017
    «Доктор Веб» обнаружил новый бэкдор для Linux14.14Понедельник, 20 ноября 2017
    «Доктор Веб» обнаружил очередной троян-шифровальщик для Linux13.99Четверг, 19 ноября 2015
    «Доктор Веб» обнаружил первого энкодера на Go и разработал дешифровку13.99Вторник, 11 октября 2016
    «Доктор Веб» обнаружил ботнет, атакующий российские банки13.99Понедельник, 14 ноября 2016
    «Доктор Веб» обнаружил ошибку в конфигурации оборудования провайдера услуг DNS-хостинга13.7Пятница, 08 апреля 2016
    «Доктор Веб» обнаружил в Google Play приложения с троянцем, загруженные более 2 млн раз13.7Понедельник, 13 ноября 2017

    Мы в соц. сетях