Обнаружены Android-троянцы, выполняющие несанкционированную установку приложений
Одним из наиболее распространенных средств незаконной монетизации на китайском рынке Android-приложений является внедрение сторонних функций и рекламных модулей в популярные программные продукты, а также навязывание программ пользователям и максимальное увеличение трафика для веб-сайтов, распространяющих те или иные приложения. Очень часто для этих целей злоумышленники используют различные вредоносные программы-загрузчики, и именно группу таких троянцев удалось выявить специалистам компании «Доктор Веб».
Центральную позицию в данной группе занимает вредоносная программа Android.DownLoader.49.origin, являющаяся стандартным Android-приложением. Запускаясь после установки в качестве системного сервиса, этот троянец соединяется с удаленным сервером, откуда получает список объектов, которые ему требуется загрузить. Среди них присутствует ряд содержащих dex-файлы архивов, которые помещаются на карту памяти в каталог /cache/sysjar/ и затем при помощи метода DexClassLoader загружаются в оперативную память мобильного устройства. Один из этих исполняемых файлов представляет собой троянца-загрузчика, внесенного в вирусную базу под именем Android.DownLoader.43.origin и способного скачивать различные приложения, включая вредоносные. Другой файл содержит троянца-«дроппера», который, в зависимости от модификации, при наличии root-доступа может устанавливать другие вредоносные приложения в системный каталог.
Помимо этих архивов, Android.DownLoader.49.origin может загрузить и ряд различных программ, которые также устанавливаются без разрешения пользователя. Если же root-доступ отсутствует, владелец мобильного устройства увидит стандартный системный запрос на установку скачанной программы.
#vk
© iXBT