Android-вредонос Kemoge «бомбардирует» пользователей нежелательной рекламой

image

Теги: вредоносное ПО, инфицирование, Android

Вредоносное ПО позволяет атакующему получить полный контроль над устройством.

Устройства на базе Android в более 20 странах мира были инфицированы агрессивным вредоносным ПО, демонстрирующим нежелательную рекламу, сообщают исследователи ИБ-компании FireEye. По их словам, вредоносный компонент, получивший название Kemoge, содержится в легитимных приложениях, предлагаемых сторонними магазинами приложений.

Аналитик FireEye Юйлун Чжан полагает, что авторами вредоносного ПО могут быть китайские хакеры. Отмечается, что злоумышленники внедряют вредоносный элемент в легитимные приложения и размещают их рекламу на различных интернет-ресурсах, побуждая пользователей загрузить их. В числе затронутых программ следующие: Sex Cademy, Assistive Touch, Calculator, Kiss Browser, Smart Touch, Shareit, Privacy Lock, Easy Locker, 2048kg, Talking Tom 3, WiFi Enhancer и Light Browser.

Kemoge способен не только демонстрировать нежелательную рекламу, но также содержит восемь эксплоитов, таргетирующих широкий ряд Android-устройств и позволяющих злоумышленнику получить полный контроль над гаджетом. После проникновения в систему вредонос собирает данные об устройстве и загружает их на рекламный сервер, а затем распространяет рекламные баннеры.

Кроме того, Kemoge собирает номера IMEI (International Mobile Station Equipment Identity) и IMSI (International Mobile Subscriber Identity) устройства, данные об объеме внутренней памяти, имеющихся в наличии приложениях и отправляет всю полученную информацию на удаленный C&C-сервер. Анализ трафика между сервером и инфицированным девайсом показал, что вредоносное ПО также пытается деинсталлировать антивирусы.

В ходе исследования эксперты FireEye обнаружили в Google Play приложение Shareit, подписанное тем же цифровым сертификатом, что и вредоносная версия, выявленная в стороннем магазине. Хотя в Shareit из Google Play не содержались эксплоиты, специалисты все же нашли фрагменты кода Kemoge. Компания Google уже проинформирована о проблеме.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.