+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Вірусні аналітики компанії "Доктор Веб" виявили в каталозі Google Play кілька додатків, в які було вбудовано троянець Android.RemoteCode.106.origin

Вірусні аналітики компанії «Доктор Веб» виявили в каталозі Google Play кілька додатків, в які було вбудовано троянець Android.RemoteCode.106.origin. Ця шкідлива програма непомітно відкриває веб-сайти, переходить за розміщеними на них рекламними посиланнями та банерами, а також накручує відвідуваність інтернет-ресурсів. Крім того, вона може використовуватися для проведення фішинг-атак та крадіжки конфіденційної інформації.

Фахівці «Доктор Веб» виявили Android.RemoteCode.106.origin в 9 програмах, які завантажили від 2,37 млн ​​до більш ніж 11,70 млн користувачів. Троянець був знайдений у таких додатках: Sweet Bakery Match 3 – Swap and Connect 3 Cakes версії 3.0; Bible Trivia версії 1.8; Bible Trivia – FREE версії 2.4; Fast Cleaner light версії 1.0; Make Money 1.9; Band Game: Piano, Guitar, Drum версії 1.47; Cartoon Racoon Match 3 – Robbery Gem Puzzle 2017 версії 1.0.2; Easy Backup & Restore версії 4.9.15; Learn to Sing версія 1.2.

Аналітики проінформували компанію Google про наявність Android.RemoteCode.106.origin у виявлених програмах. На момент публікації цього матеріалу частину з них уже було оновлено, і троянець у них був відсутній. Тим не менш, програми, що залишилися, як і раніше містять шкідливий компонент і все ще становлять небезпеку.

Перед початком шкідливої ​​активності Android.RemoteCode.106.origin виконує низку перевірок. Якщо на зараженому мобільному пристрої відсутня певна кількість фотографій, контактів у телефонній книзі та записів про дзвінки в журналі викликів, троянець ніяк себе не проявляє. У разі виконання заданих умов він відправляє запит на керуючий сервер і намагається перейти за посиланням, отриманим у відповідь повідомленні. У разі успіху Android.RemoteCode.106.origin задіює свій основний функціонал.

Троянець завантажує з сервера, що управляє, список модулів, які йому необхідно запустити. Один з них був доданий до вірусної бази Dr.Web як Android.Click.200.origin. Він автоматично відкриває веб-сайт у браузері, адресу якого йому передає командний центр. Ця функція може використовуватися для накрутки лічильника відвідувань інтернет-ресурсів, а також проведення фішинг-атак, якщо троянець отримає завдання відкрити шахрайську веб-сторінку.

Другий троянський модуль, який отримав ім'я Android.Click.199.origin, забезпечує роботу третього компонента, внесеного у вірусну базу як Android.Click.201.origin. Основне завдання Android.Click.199.origin – завантаження, запуск та оновлення модуля Android.Click.201.origin.

Android.Click.201.origin, у свою чергу, після старту з'єднується з керуючим сервером, від якого отримує завдання. Вони вказують адреси веб-сайтів, які потім троянець відкриває у невидимому для користувача вікні WebView. Після переходу по одній з цільових адрес Android.Click.201.origin самостійно натискає на вказаний в команді рекламний банер або випадковий елемент відкритої сторінки. Він повторює ці дії, поки не досягне заданого числа натискань.

Отже, основне призначення троянця Android.RemoteCode.106.origin – завантаження та запуск додаткових шкідливих модулів, які використовуються для накрутки лічильника відвідувань веб-сайтів, а також переходу по рекламних оголошеннях, за що зловмисники отримують винагороду. Крім того, шкідлива програма може використовуватися для проведення фішинг-атак та крадіжки конфіденційної інформації.

Антивірусні продукти Dr.Web для Android успішно детектують усі додатки, що містять троянця Android.RemoteCode.106.origin, а також його допоміжні модулі, тому ці шкідливі програми небезпеки для наших користувачів не становлять. При виявленні програмного забезпечення, в яке вбудовано Android.RemoteCode.106.origin, власникам Android-смартфонів та планшетів рекомендується або його видалити, або перевірити доступність оновлених версій без троянського функціоналу.

Інші новини

Найкраща ціна