Специалисты антивирусной компании «Доктор Веб» нашли очередное вредоносное приложение в официальном магазине Google Play. На этот раз им стал троян-кликер, задача которого — накручивать посещения определенных сайтов и получать прибыль за счет трафика.
Обычно такие вредоносные программы представляют собой модуль, который можно встроить в любое приложение: сканеры штрих-кодов, онлайн-карты, словари и аудиоплееры. С виду такие приложения выглядят безобидными.
Кроме того, троян Android.Click.312.origin (по классификации «Доктор Веб») действует хитро — он активирует свои вредоносные возможности лишь спустя восемь часов после установки из официального магазина приложений для Android.
Первым делом вредонос собирает информацию об устройстве жертвы: модель, операционная система, страна, User-Agent, оператор, параметры дисплея, часовой пояс. Все это отправляется на сервер злоумышленников.
В ответ сервер высылает трояну его настройки. Android.Click.312.origin может следить за установкой и обновлением программ, информацию об этих действиях он также передает командному центру.
Сервер C&C снабжает трояна адресами сайтов, которые ему необходимо открыть в невидимых окнах WebView, а также ссылки, которые зловред должен загрузить в браузере или Google Play.
Более того, некоторые пользователи, скачавшие приложения с этим трояном, жаловались на несанкционированные платные подписки на услуги контент-провайдеров. Это значит, что вредонос способен не только загружать сайты и продвигать приложения в Google Play, но и незаметно открывать любой контент самого сомнительного содержания без ведома пользователя.
Специалисты «Доктор Веб» передали представителям Google информацию о вредоносе. В результате некоторые из обнаруженных программ были удалены с площадки Google Play. С подробным разбором Android.Click.312.origin можно ознакомиться здесь.
