Trojan kupuje aplikacje Google Play

9 sierpnia 2016, 14:30

Ze wszystkich obecnie istniejących złośliwych aplikacji dla Androida, trojany wyświetlające irytujące reklamy stały się najbardziej popularne wśród przestępców. Jeden z takich trojanów wykryty przez specjalistów Doctor Web potrafi, w określonych okolicznościach, kupować i instalować aplikacje z serwisu Google Play.

Ten trojan, nazwany Android.Slicer.1.origin, jest zazwyczaj instalowany na urządzeniu przez inne złośliwe programy i realizuje funkcje specyficzne dla popularnych narzędzi serwisowych i oprogramowania typu SEO (Search Engine Optimization). W szczególności, Android.Slicer.1.origin potrafi wyświetlić informacje o zużyciu pamięci RAM i zakończyć pracę uruchomionych procesów. Dodatkowo pozwala na włączanie lub wyłączanie modułów Bluetooth i Wi-Fi. Ten trojan nie tworzy skrótu na ekranie, więc użytkownik nie może samodzielnie uruchomić tej aplikacji.

Mimo że trojan może wyglądać na zupełnie niegroźną aplikację, to realizuje typowe funkcje programu reklamowego. Zatem, gdy Android.Slicer.1.origin zostanie uruchomiony lub gdy ekran domowy urządzenia zostanie włączony lub wyłączony albo gdy moduł Wi-Fi zostanie dezaktywowany, trojan przesyła (na serwer kontrolno-zarządzający - C&C) informacje o identyfikatorze IMEI zainfekowanego urządzenia, adresie MAC adaptera Wi-Fi, nazwie producenta urządzenia i o wersji systemu operacyjnego. W rezultacie serwer C&C odpowiada mu następującymi instrukcjami:

- Dodaj skrót do ekranu domowego

- Wyświetl reklamę

- Otwórz strony www z reklamami w przeglądarce lub w aplikacji Google Play

Android.Slicer.1.origin potrafi również instalować określone aplikacje, także płatne. W tym celu wykorzystuje kolejnego trojana - Android.Rootkit.40, podobnego do narzędzia SU, używanego do pracy z uprawnieniami root'a. Jeśli Android.Rootkit.40 znajduje się w katalogu /system/bin, Android.Slicer.1.origin może automatycznie kupować i instalować aplikacje z Google Play.

W tym celu, Android.Slicer.1.origin otwiera sekcję jednej z określonych aplikacji i, korzystając z uprawnień root'a Android.Rootkit.40, uruchamia standardowe narzędzie uiautomator. W ten sposób trojan uzyskuje informacje o wszystkich oknach i elementach interfejsu wyświetlonych w danej chwili na ekranie. Następnie Android.Slicer.1.origin przeszukuje je pod kątem informacji o przyciskach posiadających identyfikatory com.android.vending:id/buy_button (przyciski "Kup" i "Instaluj") i com.android.vending:id/continue_button ("Kontynuuj"), określając położenie ich środków i rozpoczyna naciskanie ich aż do chwili, gdy znikną z ekranu. Dlatego Android.Slicer.1.origin potrafi postępować zgodnie z komendami hakerów w celu automatycznego zakupu prawie każdego płatnego programu i pobrania darmowych wersji aplikacji, a wszystko to bez wiedzy użytkownika.

Niemniej jednak zdolności trojana do skrytego zakupu i instalowania aplikacji są ograniczone. Po pierwsze, Android.Slicer.1.origin używa tylko tych identyfikatorów przycisków, które występują w Androidzie w wersji 4.3 i nowszych. Po drugie, Android.Rootkit.40 nie może działać na urządzeniach z włączonym modułem SELinux, np. z Androidem 4.4 i nowszymi. Tym samym, Android.Slicer.1.origin może kupować i pobierać inne programy tylko wówczas, gdy zainfekowane urządzenie działa pod kontrolą Androida 4.3.

Zdjęcie główne pochodzi ze źródła: ©123RF/PICSEL

Krzysztof Mocek / Informacja prasowa
krzysztof.mocek@firma.interia.pl

Tagi:

Ocena:

Oceń:

Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.