С Google Play удалены вредоносные программы, проявившие признаки родственной связи с троянцем-рутовальщиком Ztorg. В минувший вторник эксперт «Лаборатории Касперского» рассказал, каким образом злоумышленникам удалось обойти защиту VerifyApps и протащить двух представителей семейства Ztorg в официальный магазин Google.

Компания борется с подобными зловредами уже второй раз в текущем месяце. Ранее в июне по аналогичному уведомлению «Лаборатории» Google убрала из своего магазина троянца Dvmap, который, как и основная версия Ztorg, облегчает получение прав root на Android-устройстве в ходе атаки. Этот Android-зловред необычен тем, что умеет внедрять код в системные библиотеки.

Новые находки исследователей распространялись с Google Play как приложения Magic Browser и Noise Detector. Первое имитировало браузер Chrome и было более «успешным». По свидетельству старшего вирусного аналитика «Лаборатории» Романа Унучека, после загрузки в магазин Google (15 мая) Magic Browser был скачан более 50 тыс. раз без обновления разработчиком.

Эта вариация Ztorg представляет собой SMS-троянец, который, как обнаружил исследователь, пытается отправлять платные текстовые сообщения 11 разными методами, предусмотренными в его коде. При этом зловред использует их весьма необычным образом: путем обработки ошибок загрузки веб-страницы, действуя по команде. По всей видимости, злоумышленники старались обеспечить работу «кормильца» на разных устройствах и версиях Android. Кроме того, Magic Browser способен показывать жертве рекламу, получая URL с C&C-сервера. После получения команд на исполнение троянец отключает на устройстве звук и начинает удалять все входящие SMS.

Другое вредоносное приложение, якобы предназначенное для измерения уровня шума, было опубликовано 20 мая и до снятия с Google Play было скачано более 10 тыс. раз. Унучек полагает, что по замыслу вирусописателя Noise Detector должен был выполнять функции рутовальщика, основные для Ztorg, однако соответствующая версия зловреда появилась в магазине Google без возможности расшифровки и оказалась несостоятельной.

Примечательно, что вначале злоумышленники опубликовали «чистое» приложение Noise Detector, затем обновили его также безвредной версией. Лишь после этого был загружен зашифрованный, но бездействующий Ztorg, который днем позже обрел функции SMS-троянца – видимо, чтобы монетизировать трудозатраты, пока не представится случай для публикации полноценного рутовальщика. Унучек полагает, что эти далеко идущие планы сорвал ответный ход Google, которая, возможно, даже отследила попытку опасного расширения функционала.

malicious Ztorg

Напомним, на основе Ztorg был также построен Android-троянец, замаскированный под руководство к популярной игре Pokémon Go. Этот рутовальщик, объявившийся на Google Play в прошлом году, был скачан пользователями более 500 тыс. раз.

«Троянец Ztorg продолжает появляться в магазине Google Play с новыми трюками, позволяющими обойти защиту и инфицировать как можно больше различных Android-устройств и версий ОС, – заявил Унучек. – Даже если жертва загрузит явно чистое приложение, нет гарантии, что оно будет таким же чистым и через пару дней. Пользователи, Google и ИБ-исследователи должны сохранять бдительность и принимать превентивные меры защиты».

Категории: Аналитика, Вредоносные программы