06.04.2016, 22:05
Złośliwe programy dla Androida, wyświetlające reklamy i wyłudzające pieniądze, stają się coraz bardziej powszechne. Tym razem kolejny trojan z funkcjami szpiegującymi, nazwany Android.Spy.277.origin zainfekował ponad 100 aplikacji na Google Play.
Większość aplikacji użytych do dystrybucji Android.Spy.277.origin to fałszywe wersje wielu popularnych programów. Agresorzy wykorzystali nazwy i wygląd legalnych programów w celu przyciągnięcia uwagi użytkowników i zwiększenia liczby pobrań trojana. Wśród tych fałszywych aplikacji specjaliści Doctor Web znaleźli m.in. narzędzia, aplikacje do edycji zdjęć i tworzenia animowanych tapet, powłoki graficzne i inne programy. Co więcej, większość z nich nie posiada zdolności do wykonywania wymienionych zadań. Analitycy bezpieczeństwa Doctor Web zarejestrowali w sumie ponad 100 aplikacji zainfekowanych przez Android.Spy.277.origin, a liczba ich pobrań przekroczyła 3.200.000. Doctor Web poinformował już Google o tym incydencie. Dlatego niektóre z tych złośliwych programów nie są już w ogóle dostępne w Google Play.
Gdy tylko jedna z wymienionych wyżej złośliwych aplikacji zostanie uruchomiona, trojan przesyła na serwer następujące informacje o zainfekowanym urządzeniu:
adres e-mail powiązany z kontem Google użytkownika
identyfikator IMEI
wersję systemu operacyjnego
wersję SDK systemu
model urządzenia
rozdzielczość ekranu
identyfikator Google Cloud Messaging (GCM id)
numer telefonu komórkowego
położenie geograficzne użytkownika (kraj)
typ CPU
adres MAC karty sieciowej
parametr “user_agent” wygenerowany z użyciem specjalnego algorytmu
nazwę operatora sieci mobilnej
typ połączenia sieciowego
podtyp sieci
dostępność konta root’a
informację, czy zainfekowana aplikacja posiada uprawnienia administracyjne
nazwę zainfekowanej aplikacji
obecność w urządzeniu aplikacji Google Play
Podczas każdorazowego uruchomienia zainstalowanej aplikacji, trojan wysyła ponownie wszystkie informacje wymienione powyżej, razem z nazwą tej aplikacji. Dodatkowo żąda jeszcze podesłania parametrów wymaganych do wyświetlania reklam. Android.Spy.277.origin potrafi wykonywać następujące komendy:
“show_log” — włączenie lub wyłączenie logowania;
“install_plugin” — instalowanie wtyczki ukrytej wewnątrz złośliwej aplikacji;
“banner”, “interstitial”, “video_ads” — wyświetlanie różnych rodzajów reklam (włączając reklamy wyświetlane na wierzchu interfejsu systemu operacyjnego i innych aplikacji);
“notification” — wyświetlanie powiadomienia z otrzymanymi parametrami;
“list_shortcut” — tworzenie skrótów z otrzymanymi parametrami na ekranie domowym (naciśnięcie tych skrótów prowadzi do otworzenia określonych sekcji w Google Play);
“redirect_gp” — otworzenie w Google Play strony www o określonym adresie;
“redirect_browse” — otworzenie określonej strony www w preinstalowanej przeglądarce;
“redirect_chrome” — otworzenie określonej strony www w Chrome;
“redirect_fb” — otworzenie profilu na Facebooku określonego w parametrach komendy.
Jak można zobaczyć poniżej, trojan potrafi zastraszać użytkownika, na przykład rzekomo utrzymując, że bateria urządzenia jest uszkodzona i oferując pobranie niepożądanych aplikacji, które potencjalnie mogłyby naprawić ten problem:
![[Obrazek: android_spy_277_01.png]](https://st.drweb.com/static/new-www/news/2016/march/android_spy_277_01.png)
![[Obrazek: android_spy_277_02.png]](https://st.drweb.com/static/new-www/news/2016/march/android_spy_277_02.png)
Poniższe przykłady przedstawiają reklamy wyświetlane w pasku powiadomień i skróty do reklam. Naciśnięcie ich prowadzi do stron www dotyczących reklamowanych aplikacji opublikowanych w Google Play:
![[Obrazek: android_spy_277_04.png]](https://st.drweb.com/static/new-www/news/2016/march/android_spy_277_04.png)
![[Obrazek: android_spy_277_05.png]](https://st.drweb.com/static/new-www/news/2016/march/android_spy_277_05.png)
![[Obrazek: android_spy_277_03.png]](https://st.drweb.com/static/new-www/news/2016/march/android_spy_277_03.png)
Warto zauważyć, że wtyczka ukryta w pakiecie programowym trojana posiada te same cechy jak sam Android.Spy.277.origin. Gdy trojan odbierze instrukcje z serwera, to próbuje zainstalować wtyczkę, ukrywając ją pod postacią rzekomej, ważnej aktualizacji. Zatem urządzenie zawiera w rzeczywistości dwie kopie Android.Spy.277.origin — nawet gdy oryginalna wersja trojana zostanie usunięta, to wciąż będzie istnieć jej kopia kontynuująca dostarczanie reklam.
Na chwilę obecną wiadomo, że Trojan zaatakował następujące aplikacje:
Doctor Web zaleca użytkownikom Androida zwracanie szczególnej uwagi na aplikacje, które zamierzają pobrać i stosowanie się do zasady instalowania programów opracowanych wyłącznie przez renomowane firmy. Dr.Web dla Androida z powodzeniem wykrywa i usuwa wszystkie znane modyfikacje Android.Spy.277.origin.
Źródło: Dr. Web
Większość aplikacji użytych do dystrybucji Android.Spy.277.origin to fałszywe wersje wielu popularnych programów. Agresorzy wykorzystali nazwy i wygląd legalnych programów w celu przyciągnięcia uwagi użytkowników i zwiększenia liczby pobrań trojana. Wśród tych fałszywych aplikacji specjaliści Doctor Web znaleźli m.in. narzędzia, aplikacje do edycji zdjęć i tworzenia animowanych tapet, powłoki graficzne i inne programy. Co więcej, większość z nich nie posiada zdolności do wykonywania wymienionych zadań. Analitycy bezpieczeństwa Doctor Web zarejestrowali w sumie ponad 100 aplikacji zainfekowanych przez Android.Spy.277.origin, a liczba ich pobrań przekroczyła 3.200.000. Doctor Web poinformował już Google o tym incydencie. Dlatego niektóre z tych złośliwych programów nie są już w ogóle dostępne w Google Play.
Gdy tylko jedna z wymienionych wyżej złośliwych aplikacji zostanie uruchomiona, trojan przesyła na serwer następujące informacje o zainfekowanym urządzeniu:
adres e-mail powiązany z kontem Google użytkownika
identyfikator IMEI
wersję systemu operacyjnego
wersję SDK systemu
model urządzenia
rozdzielczość ekranu
identyfikator Google Cloud Messaging (GCM id)
numer telefonu komórkowego
położenie geograficzne użytkownika (kraj)
typ CPU
adres MAC karty sieciowej
parametr “user_agent” wygenerowany z użyciem specjalnego algorytmu
nazwę operatora sieci mobilnej
typ połączenia sieciowego
podtyp sieci
dostępność konta root’a
informację, czy zainfekowana aplikacja posiada uprawnienia administracyjne
nazwę zainfekowanej aplikacji
obecność w urządzeniu aplikacji Google Play
Podczas każdorazowego uruchomienia zainstalowanej aplikacji, trojan wysyła ponownie wszystkie informacje wymienione powyżej, razem z nazwą tej aplikacji. Dodatkowo żąda jeszcze podesłania parametrów wymaganych do wyświetlania reklam. Android.Spy.277.origin potrafi wykonywać następujące komendy:
“show_log” — włączenie lub wyłączenie logowania;
“install_plugin” — instalowanie wtyczki ukrytej wewnątrz złośliwej aplikacji;
“banner”, “interstitial”, “video_ads” — wyświetlanie różnych rodzajów reklam (włączając reklamy wyświetlane na wierzchu interfejsu systemu operacyjnego i innych aplikacji);
“notification” — wyświetlanie powiadomienia z otrzymanymi parametrami;
“list_shortcut” — tworzenie skrótów z otrzymanymi parametrami na ekranie domowym (naciśnięcie tych skrótów prowadzi do otworzenia określonych sekcji w Google Play);
“redirect_gp” — otworzenie w Google Play strony www o określonym adresie;
“redirect_browse” — otworzenie określonej strony www w preinstalowanej przeglądarce;
“redirect_chrome” — otworzenie określonej strony www w Chrome;
“redirect_fb” — otworzenie profilu na Facebooku określonego w parametrach komendy.
Jak można zobaczyć poniżej, trojan potrafi zastraszać użytkownika, na przykład rzekomo utrzymując, że bateria urządzenia jest uszkodzona i oferując pobranie niepożądanych aplikacji, które potencjalnie mogłyby naprawić ten problem:
Poniższe przykłady przedstawiają reklamy wyświetlane w pasku powiadomień i skróty do reklam. Naciśnięcie ich prowadzi do stron www dotyczących reklamowanych aplikacji opublikowanych w Google Play:
Warto zauważyć, że wtyczka ukryta w pakiecie programowym trojana posiada te same cechy jak sam Android.Spy.277.origin. Gdy trojan odbierze instrukcje z serwera, to próbuje zainstalować wtyczkę, ukrywając ją pod postacią rzekomej, ważnej aktualizacji. Zatem urządzenie zawiera w rzeczywistości dwie kopie Android.Spy.277.origin — nawet gdy oryginalna wersja trojana zostanie usunięta, to wciąż będzie istnieć jej kopia kontynuująca dostarczanie reklam.
Na chwilę obecną wiadomo, że Trojan zaatakował następujące aplikacje:
Kod:
com.true.icaller
com.appstorenew.topappvn
com.easyandroid.free.ios6
com.entertainmentphotoedior.photoeffect
lockscreenios8.loveslockios.com.myapplication
com.livewallpaper.christmaswallpaper
com.entertainment.drumsetpro
com.entertainment.nocrop.nocropvideo
com.entertainment.fastandslowmotionvideotool
com.sticker.wangcats
com.chuthuphap.xinchu2016
smartapps.cameraselfie.camerachristmas
com.ultils.scanwifi
com.entertainmenttrinhduyet.coccocnhanhnhat
com.entertainment.malmath.apps.mm
com.newyear2016.framestickertet
com.entertainment.audio.crossdjfree
com.igallery.styleiphone
com.crazystudio.mms7.imessager
smartapps.music.nhactet
com.styleios.phonebookios9
com.battery.repairbattery
com.golauncher.ip
com.photo.entertainment.blurphotoeffect.photoeffect
com.irec.recoder
com.Jewel.pro2016
com.tones.ip.ring
com.entertainment.phone.speedbooster
com.noelphoto.stickerchristmas2016
smartapps.smstet.tinnhantet2016
com.styleios9.lockscreenchristmas2016
com.stickerphoto.catwangs
com.ultils.frontcamera
com.phaotet.phaono2
com.video.videoplayer
com.entertainment.mypianophone.pianomagic
com.entertainment.vhscamcorder
com.o2yc.xmas
smartapps.musictet.nhacxuan
com.inote.iphones6
christmas.dhbkhn.smartapps.christmas
com.bobby.carrothd
om.entertainment.camera.fisheyepro
com.entertainment.simplemind
com.icall.phonebook.io
com.entertainment.photo.photoeditoreffect
com.editphoto.makecdcover
com.tv.ontivivideo
smartapps.giaixam.gieoquedaunam
com.ultils.frontcamera
com.applock.lockscreenos9v4
com.beauty.camera.os
com.igallery.iphotos
com.calculator.dailycalories
com.os7.launcher.theme
com.trong.duoihinhbatchu.chucmungnammoi
com.apppro.phonebookios9
com.icamera.phone6s.os
com.entertainment.video.reversevideo
com.entertainment.photoeditor.photoeffect
com.appvv.meme
com.newyear.haitetnew
com.classic.redballhd
com.entertainmentmusic.musicplayer.styleiphoneios
com.camera.ios8.style
com.countdown.countdownnewyear2016
com.photographic.iphonecamera
com.contactstyle.phonebookstyleofios9
com.entertainment.blurphotobackground.photoeffect.cameraeditor.photoeffect
com.color.christmas.xmas
com.bottle.picinpiccamera
com.entertainment.videocollagemaker
com.wallpaper.wallpaperxmasandnewyear2016
com.ultils.lockapp.smslock
com.apppro.phonebookios9
com.entertainment.myguitar.guitarpro
com.sticker.stickerframetet2016
com.bd.android.kmlauncher
com.entertainment.batterysaver.batterydoctor
com.trong.jumpy.gamehaynhatquadat
com.entertainmentphotocollageeditor
smartapps.smsgiangsinh.christmas2016
smartapps.musicchristmas.christmasmusichot
com.golauncher.ip
com.applock.lockscreenos9v4
com.imessenger.ios
com.livewall.paper.xmas
com.main.windows.wlauncher.os.wp
com.entertainmentlaunchpad.launchpadultimate
com.fsoft.matchespuzzle
com.entertainment.photodat.image.imageblur
com.videoeditor.instashot
com.entertainment.hi.controls
com.icontrol.style.os
smartapps.zing.video.hot
com.photo.entertainment.photoblur.forinstasquare
com.entertainment.livewallpaperchristmas
com.entertainment.tivionline
com.iphoto.os
com.tool.batterychecker
com.photo.multiphotoblur
smartapps.nhactet.nhacdjtet
com.runliketroll.troll
com.jinx.metalslug.contraDoctor Web zaleca użytkownikom Androida zwracanie szczególnej uwagi na aplikacje, które zamierzają pobrać i stosowanie się do zasady instalowania programów opracowanych wyłącznie przez renomowane firmy. Dr.Web dla Androida z powodzeniem wykrywa i usuwa wszystkie znane modyfikacje Android.Spy.277.origin.
Źródło: Dr. Web