Компания «Доктор Веб» обнаружила в каталоге Google Play десятки игровых приложений, скрывающих в себе троянца Android.Xiny.19.origin.
Как обнаружили специалисты, в Google Play можно найти множество игровых приложений, скрывающих в себе троянца Android.Xiny.19.origin. Основное предназначение этой вредоносной программы – загрузка, установка и запуск программ по команде злоумышленников. Кроме того, троянец способен показывать навязчивую рекламу.
Вирусописатели встроили данного троянца в более чем 60 игр, которые затем разместили в каталоге Google Play от имени более чем 30 разработчиков, в частности Conexagon Studio, Fun Color Games, Billapps.
Компания «Доктор Веб» уже оповестила корпорацию Google о данном инциденте. На первый взгляд, выявленные программы мало чем отличаются от множества других подобных приложений – несмотря на то, что качество их весьма посредственное, после запуска они все же предоставляют владельцам Android–смартфонов и планшетов заявленный функционал. В то же время скрытый в них троянец Android.Xiny.19.origin передает на сервер информацию об IMEI–идентификаторе и MAC–адресе зараженного устройства, версии и текущем языке ОС, наименовании мобильного оператора, доступности карты памяти, имени приложения, в которое встроен троянец, а также ответ на то, находится ли соответствующая программа в системном каталоге.
Однако главная опасность Android.Xiny.19.origin заключается в том, что по команде злоумышленников он может скачивать и динамически запускать произвольные apk–файлы. При этом данная функция троянца реализована весьма интересным способом. В частности, для маскировки вредоносного объекта вирусописатели прячут его в специально созданных изображениях, фактически применяя метод стеганографии. В отличие от криптографии, когда исходная информация шифруется, а сам по себе факт шифрования может вызвать подозрение, стеганография позволяет скрывать те или иные данные незаметно.
Получив от управляющего сервера нужное изображение, Android.Xiny.19.origin при помощи специального алгоритма извлекает из него спрятанный apk–файл, который в дальнейшем запускает на исполнение.
В настоящее время Android.Xiny.19.origin не имеет функционала для получения root–полномочий. Однако, учитывая то, что одним из основных предназначений троянца является установка ПО, ничто не мешает киберпреступникам отдать ему команду на загрузку набора эксплойтов с тем, чтобы вредоносная программа получила необходимые права и начала незаметно инсталлировать и даже удалять программы.