Попав на систему, троян собирает и отправляет на C&C-сервер конфиденциальные данные.
Для многих разработчиков демонстрация рекламы в мобильных приложениях уже давно является одним из главных источников заработка. Однако такой способ получения прибыли используют не только добропорядочные производители ПО, но и злоумышленники. Так, специалисты компании «Доктор Веб» обнаружили троян, который устанавливает на Android-смартфоны и планшеты нежелательный программный модуль, показывающий рекламу поверх большинства приложений.
Вредонос, получивший наименование Android.Spy.510 (по классификации «Доктор Веб»), распространяется в модифицированном вирусописателями изначально безобидном мультимедийном проигрывателе, который злоумышленники назвали AnonyPlayer. Вредоносная версия плеера обладает всеми функциями оригинала и полностью работоспособна, поэтому не вызывает подозрения у пользователей.
Попав на систему, троян собирает и отправляет на C&C-сервер конфиденциальную информацию, в том числе логин пользователя от учетной записи в Google Play, данные о модели смартфона, версии SDK операционной системы, а также сведения о наличии в ней доступа с правами суперпользователя. Далее троян пытается установить пакет, содержащий необходимый преступникам вредоносный функционал. Для этой цели Android.Spy.510 демонстрирует сообщение о необходимости установки приложения AnonyService, которое якобы гарантирует анонимность и предотвращает утечку конфиденциальной информации.
После запуска приложение запрашивает у владельца мобильного гаджета доступ к специальным возможностям операционной системы (Accessibility Service), после чего переходит в режим ожидания. Вредонос приступает к работе только спустя несколько суток после инсталляции. Таким образом злоумышленники уменьшают вероятность обнаружения пользователем источника нежелательной активности на зараженном устройстве.
Про истечении заданного времени приложение начинает отслеживать все происходящие в системе события. Как только жертва запускает какое-либо приложение троян приступает к выполнению своей непосредственной задачи – показу рекламы.
Специалисты «Доктор Веб» предупреждают, что пользователям следует с осторожностью относиться к ПО, требующему доступ к службе Accessibility Service. В случае получения такового вредоносное приложение сможет взаимодействовать с графическим интерфейсом (к примеру, самостоятельно обрабатывать аналоговые окна), а также получит возможность похищать конфиденциальные данные, такие как переписка, поисковые запросы и пароли.