Очередной найденный в Google Play троян был загружен более 1 000 000 раз
В каталоге Google Play вновь нашли приложение со встроенным трояном-загрузчиком. Вредонос получил идентификатор Android.DownLoader.558.origin и был встроен в популярную игру BlazBlue, которую загрузили более 1 000 000 пользователей.
Это вредоносное приложение способно без ведома пользователей загружать, устанавливать и запускать другое ПО.
Троян начинает работу при первом старте программы или игры, в которую он встроен. После этого он самостоятельно загружается при каждом подключении мобильного устройства к интернету, даже если пользователь более не запускает зараженное приложение.
Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек сервера в ответ малварь может получить команду на загрузку того или иного программного компонента. Например, в случае с игрой BlazBlue модуль предлагает скачать недостающие файлы, а также обновления, если они доступны.
Помимо дополнительных ресурсов и обновлений Android.DownLoader.558.origin способен загружать отдельные apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. Например, исполнение кода загруженных dex-файлов происходит автоматически и не требует каких-либо действий со стороны владельца устройства.
При установке загружаемых apk-файлов пользователь видит стандартное диалоговое окно, однако при наличии root-доступа троян может устанавливать их незаметно. В этом и заключается главная опасность SDK Excelliance. Его авторы в любой момент могут отдать команду на загрузку объектов, никак не связанных с основным приложением: рекламных модулей, сторонних программ и даже другой малвари, и все это может быть скачано в обход каталога Google Play и запущено без разрешения.
Специалисты «Доктор Веб» уже уведомили сотрудников Google об опасном поведении троянского компонента в SDK, однако на момент написания этого материала игра BlazBlue со встроенным трояном все еще была доступна для скачивания. // xakep
Tweet