«Доктор Веб»: Android под прицелом новых троянских программ

Эксперты компании «Доктор Веб» обнаружили новые вредоносные программы для мобильной операционной системы Android. Жертвами вирусов становятся пользователи мобильных устройств, которые используют ОС с повышенными привилегиями.

В «Доктор Веб» отмечают, что новые троянские программы распространяются с легитимными приложениями посредством популярных сайтов, на которых пользователям предлагают приобрести программное обеспечение. Новые вредоносные программы являются модифицированными приложениями (Android.MulDrop.origin.3), которые содержат еще один программный пакет в зашифрованном виде. 

Первое приложение представляет собой дроппер, в основе которого лежат системные утилиты, конфигураторы и пр. Такой выбор злоумышленников обусловлен тем, что подобные приложения всегда запрашивают права администратора. Вследствие, когда после запуска приложение запрашивает root-доступ, пользователь ничего не подозревает.

Если пользователь предоставляет root-доступ, то Android.MulDrop.origin.3 расшифровывает скрытый в нем apk-файл и устанавливает его в системный каталог. Этот файл также является дроппером и вступает в действие после последующего запуска системы. Дроппер расшифровывает и устанавливает размещенный в нем программный пакет, который представляет собой троянскую программу Android.DownLoader.origin.2.

Android.DownLoader.origin.2. наделен функционалом автозапуска, что позволяет ему при запуске системы подключиться к удаленному серверу. Далее вредоносная программа получает список приложений для загрузки и установки на мобильное устройство пользователя. Этот список содержит вредоносные программы, а также обычные приложения.

Подробно с уведомлением «Доктор Веб» можно ознакомиться здесь.