Доктор Веб: новые Android-трояны выполняют несанкционированную установку приложений25.03.2014 07:35

Одним из наиболее распространенных средств незаконной монетизации на китайском рынке Android-приложений является внедрение сторонней функциональности и рекламных модулей в популярные программные продукты, а также навязывание программ пользователям и максимальное увеличение трафика для веб-сайтов, распространяющих те или иные приложения. Очень часто для этих целей злоумышленники используют различные вредоносные программы-загрузчики, и именно группу таких троянцев удалось выявить специалистам компании «Доктор Веб».

Android.DownLoader.49.originAndroid.DownLoader.49.origin

Центральную позицию в данной группе занимает вредоносная программа Android.DownLoader.49.origin, являющаяся стандартным Android-приложением. Запускаясь после установки в качестве системного сервиса, этот троянец соединяется с удаленным сервером, откуда получает список объектов, которые ему требуется загрузить. Среди них присутствует ряд содержащих dex-файлы архивов, которые помещаются на карту памяти в каталог /cache/sysjar/ и затем при помощи метода DexClassLoader загружаются в оперативную память мобильного устройства. Один из этих исполняемых файлов представляет собой троянца-загрузчика, внесенного в вирусную базу под именем Android.DownLoader.43.origin и способного скачивать различные приложения, включая вредоносные. Другой файл содержит троянца-«дроппера», который, в зависимости от модификации, при наличии root-доступа может устанавливать другие вредоносные приложения в системный каталог.

Помимо этих архивов, Android.DownLoader.49.origin может загрузить и ряд различных программ, которые также устанавливаются без разрешения пользователя. Если же root-доступ отсутствует, владелец мобильного устройства увидит стандартный системный запрос на установку скачанной программы.

В свою очередь, троянец Android.DownLoader.43.origin способен аналогичным образом связываться с удаленным сервером с целью получения списка приложений для загрузки и установки на инфицируемом мобильном устройстве. Примечательно, что в этом списке присутствуют и другие троянцы-загрузчики, обладающие схожей функциональностью. Таким образом, вирусописатели создали цепочку из вредоносных программ, осуществляющих распространение как друг друга, так и приложений, установка которых по тем или иным причинам выгодна для киберпреступников. В общей сложности специалистами компании «Доктор Веб» было обнаружено около 10 подобных троянцев-загрузчиков, а сервер, принадлежащий злоумышленникам, содержит почти 600 программ, предназначенных для несанкционированной установки.

©  Ferra.ru