Вредоносное ПО Ghost Push вышло на пик своей эволюции — свыше 20 новых версий зловреда сделали его обнаружение и удаление еще более трудным, сообщает ZDNet.

О модификациях опасной программы заявили исследователи Trend Micro. По их словам, зловред вышел на новый уровень именно в сентябре 2015 года, хотя свою активность он начал проявлять еще в апреле.

В новых версиях софта не только шифруются APK-файл, который используется для инсталляции и распространения ПО, и шелл-код, но и переименовывается файл .apk, предназначенный для установки вредоносного кода. Добавлен также guard code, который служит для мониторинга собственных процессов.

После инсталляции зловред запускает DEX-файл, который незаметен на устройстве. После выгрузки DEX-файла вредоносная программа пропишет себя в списке приложений для автоматического запуска при старте и рутирует девайс жертвы, предотвращая свое удаление при обновлениях системы. Вредоносная программа может устанавливать нежелательные приложения и рекламу, вести наблюдение за действиями пользователя и красть персональную информацию.

Масштаб заражений — 600 тыс. в день. По данным Cheetah Mobile, основное число пострадавших находится в Восточной Европе, а именно в России. В Trend Micro сообщают о наибольшем количестве жертв в Индии, Индонезии, Малайзии. Также инфицированные девайсы находятся в Мексике, Венесуэле, на Ближнем Востоке, в Китае.

В общей сложности распространению способствовали 39 приложений, не связанных с Google Play, с которыми «поставлялся» вредоносный код. Ранее исследователи обнародовали список такого софта: Accurate Compass, All-star Fruit Slash, Amazon, Assistive Touch, Assistive Touch, Boom Pig, Daily Racing, Fast Booster, Fruit Slots, Happy Fishing, Hot Girls, Hot Video, Hubii News, Ice Browser, iTouch, iVideo, Indian Sexy Stories 2, Lemon Browser, Light Browser, Memory Booster, MonkeyTest, Multifunction Flashlight, Photo Clean, PinkyGirls, PronClub, SettingService, Sex Cademy, Simple Flashlight, SmartFolder, Super Mario, Talking Tom 3, TimeService, WhatsWifi, WiFi Enhancer, WiFi FTP, Wifi Speeder, WordLock, XVideo и XVideo Codec Pack.

Сейчас команда, которая распространяет Ghost Push, опубликовала свыше 650 вредоносных приложений, загружаемых в сторонние онлайн-магазины. Одно из приложений уже заразило более 100 тыс. устройств.

Категории: Вредоносные программы