Компания «Доктор Веб» сообщает об активном распространении троянской программы Android.Spy.510, устанавливающей нежелательный модуль, показывающий рекламу поверх запускаемых приложений. Вредоносное приложение работает на планшетах и смартфонах под управлением операционной системы Android.
Android.Spy.510 распространяется в составе модифицированной версии мультемедиа-проигрывателя AnonyPlayer. Троянская версия плеера полностью работоспособна и обладает всеми функциями оригинальной программы, поэтому у пользователя не возникает никаких подозрений. После установки и запуска приложение собирает и передаёт на управляющий сервер конфиденциальные данные, в том числе информацию о модели заражённого смартфона или планшета, информацию о версии SDK, о наличии в ней root-доступа, а также учётную запись пользователя Google Play. После этого троянец устанавливает дополнительный программный пакет, в котором содержатся основные функции, необходимые злоумышленникам. Пользователю демонстрируется сообщение, в котором предлагается инсталлировать приложение AnonyService, якобы предотвращающее получение третьими лицами конфиденциальной информации и обеспечивающее анонимность. На самом деле данная программа является рекламным модулем.
После запуска Adware.AnonyPlayer.1.origin запрашивает доступ к специальным возможностям операционной системы, а затем переходит в режим ожидания. Приложение начинает показ рекламы только через несколько суток после установки. Отмечается, что это сделано с целью уменьшения вероятности обнаружения пользователем источника нежелательной активности. Программа начинает отслеживать все события, происходящие в системе, и ожидает, когда владелец смартфона или планшета запустит какое-либо приложение, после чего начинает показ рекламы. Вначале Adware.AnonyPlayer.1.origin проверяет нахождение соответствующей программы в «белом» списке, куда киберпреступники поместили некоторые приложения, которые, по их мнению, не содержат функций для демонстрации коммерческих предложений. К ним относятся приложения камеры, календаря, калькулятора, просмотра SMS/MMS и ряда других программ. Если в данном списке находится соответствие, то троян не предпринимает дальнейших действий, поскольку показ рекламы после старта «чистых» программ может насторожить пользователя.
В случае, если запускаемое приложение отсутствует в «белом» списке, Adware.AnonyPlayer.1.origin формирует специальное уведомление с использованием элемента WebView, отображающееся поверх окна начавшей работу программы, и содержит рекламу, указанную управляющим сервером. В результате владелец устройства может подумать, что источник уведомлений — это запущенное приложение. При этом авторы троянца позаботились о том, чтобы отвести подозрения от своего творения, поскольку при запуске как самого Adware.AnonyPlayer.1.origin, так и приложения Android.Spy.510, никакой рекламы не отображается.
Сотрудники компании «Доктор Веб» рекомендуют владельцам планшетов и смартфонов с операционной системой Android устанавливать приложения только из доверенных источников, а также крайне внимательно и осторожно относиться к программам, требующим предоставления доступа к специальным возможностям операционной системы (Accessibility Service). В случае, если вредоносное приложение получит этот доступ, оно сможет начать взаимодействие с графическим интерфейсом и перехватывать информацию, вводимую жертвой, работая как кейлоггер. В результате программа может получить возможность похитить конфиденциальные данные, в том числе личную переписку, пароли и поисковые запросы.
Отмечается, что записи, деактивирующие троянское приложение Android.Spy.510, а также устанавливаемой им рекламной программы Adware.AnonyPlayer.1.origin, внесены в базу данных вирусов от Dr.Web и не представляют опасности для пользователей антивируса.