Новейший Android-зловред, обошедший контроль Google Play, приобщает мобильные устройства к ботнету для накрутки рекламных кликов, проведения DDoS-атак, рассылки спама и совершения других противозаконных действий.

Недавно обнаруженная вредоносная кампания, нареченная Viking Horde («Орда викингов»), подробно рассмотрена в блоге Check Point. Согласно исследователям, новый бот загружают несколько приложений, проникших в магазин Google в качестве игры (Viking Jump, Parrot Copter, Simple 2048) или полезной утилиты (Memory Booster, WiFi Plus). Самой востребованной из этих сомнительных программ оказалась Viking Jump, на счету которой числилось 50–100 тыс. загрузок; в некоторых местных магазинах эта игра вошла в топ популярных бесплатных приложений.

Google была предупреждена о новых лазутчиках 5 мая. По всей видимости, компания оперативно отреагировала на сигнал, так как быстрый поиск на Google Play, проведенный Check Point спустя некоторое время, не дал положительных результатов.

Как отметили исследователи Андрей Полковниченко и Орен Кориат (Oren Koriat), Viking Horde все равно, разлочен смартфон или нет. Для реализации основной функциональности — клик-фрода — зловред устанавливает анонимное прокси-соединение, по команде открывая два сокета. «Основной целью данного зловреда является захват устройства и использование его для имитации кликов по рекламным объявлениям на сайтах за вознаграждение, — пишут Полковниченко и Кориат. — Этот прокси нужен для обхода антифродовых механизмов в рекламных сетях путем использования распределенных IP».

После инсталляции загруженное из Google Play приложение инициирует заявленную легитимную функцию и одновременно устанавливает за пределами своей директории несколько компонентов с псевдосистемными именами. Если обнаружен джейлбрейк, зловред запускает два дополнительных компонента; один из них, app_exec, реализует протокол обмена с C&C-сервером, другой, app_exec_watch_dog, отвечает за обновления и обеспечение постоянного присутствия. Если устройство не разлочено, файл app_exec загружается как разделяемая библиотека; ее функции вызываются через интерфейс JNI, что позволяет Java-коду запускать на исполнение неуправляемые бинарники.

Компонент app_exec также постоянно мониторит присутствие основного приложения на устройстве. Если пользователь удалил подозрительную программу, app_exec расшифровывает и устанавливает скрытую копию — компонент com.android.security, который будет запускаться при каждом старте системы. Если удалить app_exec, он будет восстановлен из папки апдейтов.

Поскольку app_exec инсталлируется независимо от того, разлочено устройство или нет, зловред в любом случае имеет возможность передавать и получать информацию без санкции пользователя. Так, исследователям удалось зафиксировать отправку на C&C таких данных, как версия ОС, статус батареи и координаты GPS.

Данный зловред атакует в основном россиян. Также Check Point обнаружила ряд заражений в США, Испании, Ливане и Саудовской Аравии, в меньшей степени — в Доминиканской Республике, Бразилии и Колумбии. Эти сведения были получены с одного из C&C-серверов Viking Horde, на который исследователям удалось проникнуть.

Как видим, вредоносные Android-приложения, обманом вынуждающие пользователей отдавать им админ-права, продолжают просачиваться на Google Play, минуя защиту. Так, в начале текущего года из открытого доступа были изъяты 13 приложений, упакованных вместе со зловредом Brain Test. Представители этого семейства способны получать права суперпользователя на Android-устройствах, загружать другие вредоносные APK-файлы и накручивать на Google Play рейтинги других приложений.

Категории: Аналитика, Вредоносные программы