Ряд приложений из Google Play содержит троянский плагин
Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play троянец Android.Valeriy.1.origin, которого вирусописатели используют для заработка на дорогостоящих подписках, а также для распространения других вредоносных приложений. Этот троянец представляет собой вредоносный плагин, который встроен в безобидное ПО. Он распространяется разработчиками ZvonkoMedia LLC, Danil Prokhorov и horshaom в шести приложениях, доступных в Google Play: Battery Booster, Power Booster, Blue Color Puzzle, Blue And White, Battery Checker и Hard Jump — Reborn 3D. Все они являются играми и сервисными утилитами, и к настоящему моменту в общей сложности из каталога их загрузило более 15 500 пользователей. В то же время, управляющий сервер троянца, к которому получили доступ специалисты компании «Доктор Веб», содержит сведения о более чем 55 000 уникальных установках.
После запуска игр и приложений, в которых находится Android.Valeriy.1.origin, вредоносный модуль соединяется с управляющим сервером и получает от него задание, содержащее специально сформированную ссылку. В большинстве случаев, она ведет на сомнительные веб-порталы, основная задача которых – получить номер мобильного телефона потенциальных жертв и подписать их на услугу.
Android.Valeriy.1.origin автоматически открывает в окне WebView один из таких сайтов и выводит его на экран в виде рекламного баннера. Одновременно с получением соответствующего задания Android.Valeriy.1.origin начинает отслеживать все входящие СМС. После того, как жертва указывает номер телефона, ей поступает код подтверждения подписки на платный сервис. Однако, Android.Valeriy.1.origin перехватывает и блокирует эти сообщения, тем самым лишая пользователя информации о том, что он согласился с условиями предоставления дорогостоящей услуги. В результате с мобильных счетов жертв каждый день будет списываться определенная плата. Троянец может также скачивать и различные программы, в том числе, вредоносные. Например, среди них вирусные аналитики «Доктор Веб» обнаружили троянца-загрузчика Android.DownLoader.355.origin. Также эксперты отметили, что большинство приложений, содержащих троянца Android.Valeriy.1.origin, защищено упаковщиком, который осложняет их анализ.
