Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Назад к списку новостей

Рекламное Android-приложение «подставляет» другие программы

26 ноября 2015 года

Демонстрация рекламы в мобильных приложениях для многих разработчиков уже давно стала одним их главных источников заработка. Однако такой способ получения прибыли все чаще берут на вооружение не только добропорядочные производители ПО, но и киберпреступники, создающие для этого всевозможные вредоносные программы. Одной из них стал обнаруженный специалистами компании «Доктор Веб» троянец Android.Spy.510, который устанавливает на Android-смартфоны и планшеты нежелательный программный модуль, показывающий рекламу поверх большинства запускаемых приложений.

Android.Spy.510 распространяется в модифицированном вирусописателями изначально безобидном мультимедийном проигрывателе, который злоумышленники назвали «AnonyPlayer». Троянская версия плеера обладает всеми функциями оригинала и полностью работоспособна, поэтому у потенциальных жертв не должно возникнуть никаких подозрений относительно его возможной опасности.

После установки и запуска Android.Spy.510 собирает и передает на управляющий сервер ряд конфиденциальных данных, включая логин пользователя от учетной записи Google Play, информацию о модели зараженного смартфона или планшета, версии SDK операционной системы, а также о наличии в ней root-доступа. Затем троянец пытается инсталлировать скрытый в его ресурсах дополнительный программный пакет, который содержит основной вредоносный функционал, необходимый злоумышленникам. Для этого Android.Spy.510 демонстрирует специальное сообщение, в котором говорится о необходимости установить приложение AnonyService, якобы обеспечивающее анонимность пользователей и предотвращающее получение конфиденциальной информации третьими лицами. В действительности же данная программа не предоставляет подобного функционала и является рекламным модулем, внесенным в вирусную базу Dr.Web как Adware.AnonyPlayer.1.origin.

screen  screen

Сразу после запуска Adware.AnonyPlayer.1.origin запрашивает у владельца мобильного устройства доступ к специальным возможностям операционной системы (Accessibility Service), после чего переходит в режим ожидания и начинает нежелательную деятельность лишь спустя несколько суток с момента своей инсталляции. Это сделано с целью уменьшения вероятности обнаружения пользователем источника нежелательной активности на зараженном устройстве.

screen  screen

По прошествии заданного времени Adware.AnonyPlayer.1.origin благодаря имеющимся в его распоряжении функциям Accessibility Service начинает отслеживать все происходящие в системе события и ожидает момента, когда жертва запустит какое-либо приложение. Как только это происходит, модуль немедленно приступает к выполнению своей главной задачи – показу рекламы. Вначале Adware.AnonyPlayer.1.origin проверяет, находится ли соответствующая программа в «белом» списке, куда злоумышленники поместили ряд приложений, которые, по их мнению, не содержат функционал для демонстрации коммерческих предложений:

  • org.adw.launcher
  • com.android.launcher
  • com.android.systemui
  • com.android.settings
  • com.android.dialer
  • com.huawei.android.launcher
  • com.google.android.gm
  • com.android.deskclock
  • com.android.calendar
  • com.android.contacts
  • com.sec.android.app.camera
  • com.lge.settings.easy
  • com.android.providers.downloads.ui
  • com.android.calculator2
  • com.android.mms
  • com.android.phone
  • android
  • com.lge.clock
  • com.sec.android.app.launcher
  • com.android.gallery
  • com.android.camera
  • com.google.android.apps.maps
  • com.lge.launcher2
  • com.apusapps.launcher
  • com.lge.splitwindow
  • com.sonyericsson.home
  • com.android.incallui
  • com.google.android.inputmethod.latin
  • com.whatsapp
  • com.android.packageinstaller

Если Adware.AnonyPlayer.1.origin находит в этом списке соответствие, то он не предпринимает дальнейших действий, т. к. показ рекламы после старта «чистых» программ, среди которых немало системного и популярного прикладного ПО, может насторожить пользователя и привести к обнаружению ее истинного источника.

Если же запускаемое приложение в данном списке отсутствует, Adware.AnonyPlayer.1.origin при помощи элемента WebView формирует специальное уведомление, которое отображается поверх окна начавшей работу программы и содержит указанную управляющим сервером рекламу. В результате владелец зараженного Android-смартфона или планшета может подумать, что источник навязчивых уведомлений – именно то приложение, которое он только что запустил. При этом, чтобы отвести все подозрения от своих «творений», вирусописатели позаботились о том, что при запуске как самого Adware.AnonyPlayer.1.origin, так и установившего его троянца Android.Spy.510 никакой рекламы не отображалось.

screen

Специалисты компании «Доктор Веб» настоятельно рекомендуют владельцам Android-устройств устанавливать приложения, полученные только из надежных источников. Кроме того, пользователям следует с особой осторожностью относиться к программам, требующим предоставить им доступ к специальным возможностям операционной системы (Accessibility Service). Если вредоносное приложение его получит, оно сможет взаимодействовать с графическим интерфейсом (например, самостоятельно обрабатывать диалоговые окна) и даже перехватывать вводимую потенциальной жертвой информацию, работая как кейлоггер. В результате оно получит возможность похитить конфиденциальные данные, такие как переписка, поисковые запросы и даже пароли.

Записи для детектирования троянца Android.Spy.510 и устанавливаемого им рекламного приложения Adware.AnonyPlayer.1.origin внесены в вирусную базу Dr.Web, поэтому для наших пользователей они не представляют опасности.

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А