От новых троянцев в Google Play могли пострадать 25 000 пользователей

Источник: drweb
drweb

Компания "Доктор Веб" - российский производитель антивирусных средств защиты информации - сообщает об обнаружении в каталоге Google Play нескольких вредоносных программ, которые устанавливают на мобильные устройства пользователей троянцев семейства Android.SmsSend, отправляющих платные СМС-сообщения и обнуляющих счета абонентов. Компания Google была оперативно проинформирована о данном инциденте.

Обнаруженные специалистами компании "Доктор Веб" программы принадлежат вьетнамскому разработчику под названием AppStore Jsc и представляют собой два аудиопроигрывателя, а также видеоплеер для просмотра эротических роликов.

На основании статистики каталога Google Play в приведенной ниже таблице представлена информация о числе пользователей, установивших эти приложения:

Название приложения Имя пакета Число установок
Phim Sex HD-Free phimsex.videoxxx.clipsex.phimnguoilon.phimconheo.tinhduc 5000-10000
Zing MP3 - BXH Music phimsexy.mp3.zing.vn.nhaccuatui.bangxephang.bxh.nhachot 5000-10000
Phim Nguoi Lon - Audio 18+ zingmp3.audio18.truyennguoilon.audiotinhduc 1000-5000

Суммарное число установок всех трех программ составляет от 11 до 25 тысяч.

Эти приложения внешне ничем особо не выделяются, однако внутри них скрыт дополнительный apk-файл, представляющий собой СМС-троянца семейства Android.SmsSend. Во время работы этих приложений-носителей, добавленных в вирусную базу Dr.Web как Android.MulDropAndroid.MulDrop.1 и Android.MulDrop.2, пользователи могут столкнуться с предложением загрузить интересующий их контент, однако после согласия на его загрузку вместо ожидаемого результата начнется процесс установки нового приложения. Так, например, один из "дропперов" предлагает пользователям получить новые эротические видеоролики.

Если беспечный пользователь согласится на установку подозрительного приложения, на его мобильное Android-устройство будет инсталлирован троянец Android.SmsSend.517, скрытно отправляющий СМС на короткий номер 8775, который указан в конфигурационном файле вредоносной программы. Примечательно, что этот троянец действительно позволяет просматривать эротические видео. Добавив такую возможность, злоумышленники, вероятно, решили перестраховаться, чтобы не вызывать лишних подозрений.

Что же касается второго и третьего троянца-носителя, то они содержат вредоносную программуAndroid.SmsSend.513.origin, действующую аналогичным с Android.SmsSend.517 образом, но, в отличие от него, получают информацию о коротких номерах с управляющего сервера.

Компания Google была проинформирована о данном инциденте. Пользователи антивирусных продуктов Dr.Web для Android надежно защищены от этих вредоносных программ: соответствующие записи были оперативно внесены в вирусную базу.


Страница сайта http://185.71.96.61
Оригинал находится по адресу http://185.71.96.61/home.asp?artId=33867