ИБ-исследователи обнаружили в Google Play более 60 игр, инфицированных троянцем Android.Xiny. Хотя авторство троянизированных игр принадлежит 30 различным разработчикам, все программы ведут себя схожим образом: информация пользователей (в том числе IMEI- и IMSI-идентификаторы, MAC-адрес устройства, данные о стране, версии ОС, операторе связи, типе памяти, используемой в SD-карте, языковые настройки) отправляется на удаленный сервер. Весьма любопытно, что на сервер отправляется и информация о названии конкретного приложения, «скармливающего» данные троянцу, — это наталкивает на мысль, что за разработкой вредоносных игр стоял один и тот же злоумышленник.

Получив данные, Android.Xiny демонстрирует владельцу инфицированного смартфона нежелательные рекламные объявления, а также загружает другие вредоносные программы. При этом он не получает привилегии системного уровня, но может служить «проводником» для других приложений, обладающих такой возможностью.

Любопытной исследователям показалась такая функциональная особенность зловреда, как использование метода стеганографии для загрузки вредоносных программ без ведома пользователей. Эти дополнительные вредоносные Android-приложения упакованы в PNG-картинки, чтобы вызывать меньше подозрений у антивирусных программ.

«Троянец, получивший вердикт Android.Xiny.19.origin, загружает с сервера специально созданное изображение, в котором содержится объект, замаскированный при помощи стеганографии. При помощи специального алгоритма троянец получает APK-файл, после чего вредоносное приложение загружает файл в оперативную память устройства при помощи загрузчика класса DexClassLoader», — поясняют эксперты Dr. Web, обнаружившие троянца.

На момент написания статьи многие из вредоносных игр все еще были доступны. Исследователи между тем уже назвали нескольких разработчиков, виновных в распространении троянца: среди них Billapps, Conexagon Studio, Fun Color Games и другие.

Категории: Вредоносные программы