Новости Software

Троянская программа Android.Spy.510 показывает навязчивую рекламу пользователям

Компания «Доктор Веб» сообщает об активном распространении троянской программы Android.Spy.510, устанавливающей нежелательный модуль, показывающий рекламу поверх запускаемых приложений. Вредоносное приложение работает на планшетах и смартфонах под управлением операционной системы Android.

Android.Spy.510 распространяется в составе модифицированной версии мультемедиа-проигрывателя AnonyPlayer. Троянская версия плеера полностью работоспособна и обладает всеми функциями оригинальной программы, поэтому у пользователя не возникает никаких подозрений. После установки и запуска приложение собирает и передаёт на управляющий сервер конфиденциальные данные, в том числе информацию о модели заражённого смартфона или планшета, информацию о версии SDK, о наличии в ней root-доступа, а также учётную запись пользователя Google Play. После этого троянец устанавливает дополнительный программный пакет, в котором содержатся основные функции, необходимые злоумышленникам. Пользователю демонстрируется сообщение, в котором предлагается инсталлировать приложение AnonyService, якобы предотвращающее получение третьими лицами конфиденциальной информации и обеспечивающее анонимность. На самом деле данная программа является рекламным модулем.

После запуска Adware.AnonyPlayer.1.origin запрашивает доступ к специальным возможностям операционной системы, а затем переходит в режим ожидания. Приложение начинает показ рекламы только через несколько суток после установки. Отмечается, что это сделано с целью уменьшения вероятности обнаружения пользователем источника нежелательной активности. Программа начинает отслеживать все события, происходящие в системе, и ожидает, когда владелец смартфона или планшета запустит какое-либо приложение, после чего начинает показ рекламы. Вначале Adware.AnonyPlayer.1.origin проверяет нахождение соответствующей программы в «белом» списке, куда киберпреступники поместили некоторые приложения, которые, по их мнению, не содержат функций для демонстрации коммерческих предложений. К ним относятся приложения камеры, календаря, калькулятора, просмотра SMS/MMS и ряда других программ. Если в данном списке находится соответствие, то троян не предпринимает дальнейших действий, поскольку показ рекламы после старта «чистых» программ может насторожить пользователя.

В случае, если запускаемое приложение отсутствует в «белом» списке, Adware.AnonyPlayer.1.origin формирует специальное уведомление с использованием элемента WebView, отображающееся поверх окна начавшей работу программы, и содержит рекламу, указанную управляющим сервером. В результате владелец устройства может подумать, что источник уведомлений — это запущенное приложение. При этом авторы троянца позаботились о том, чтобы отвести подозрения от своего творения, поскольку при запуске как самого Adware.AnonyPlayer.1.origin, так и приложения Android.Spy.510, никакой рекламы не отображается.

Сотрудники компании «Доктор Веб» рекомендуют владельцам планшетов и смартфонов с операционной системой Android устанавливать приложения только из доверенных источников, а также крайне внимательно и осторожно относиться к программам, требующим предоставления доступа к специальным возможностям операционной системы (Accessibility Service). В случае, если вредоносное приложение получит этот доступ, оно сможет начать взаимодействие с графическим интерфейсом и перехватывать информацию, вводимую жертвой, работая как кейлоггер. В результате программа может получить возможность похитить конфиденциальные данные, в том числе личную переписку, пароли и поисковые запросы.

Отмечается, что записи, деактивирующие троянское приложение Android.Spy.510, а также устанавливаемой им рекламной программы Adware.AnonyPlayer.1.origin, внесены в базу данных вирусов от Dr.Web и не представляют опасности для пользователей антивируса.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥