Контакты
Подписка
МЕНЮ
Контакты
Подписка

«Доктор Веб» выявила в Google Play новый троянец-бэкдор

15/07/19

opengp

Вредоносная программа получила имя Android.Backdoor.736.origin. Она распространяется под видом приложения OpenGL Plugin для проверки версии графического интерфейса OpenGL ES и загрузки его обновлений.

При запуске Android.Backdoor.736.origin запрашивает доступ к нескольким важным системным разрешениям, которые позволят ему собирать конфиденциальную информацию и работать с файловой системой. Кроме того, он пытается получить допуск к показу экранных форм поверх интерфейса других программ.

Android.Backdoor.736.origin постоянно активен в фоновом режиме и может запускаться не только через значок или ярлык, но также автоматически при старте системы и по команде злоумышленников через Firebase Cloud Messaging. Основной вредоносный функционал троянца расположен во вспомогательном файле, который зашифрован и хранится в каталоге с ресурсами программы. Он расшифровывается и загружается в память при каждом старте Android.Backdoor.736.origin.

Бэкдор поддерживает связь с несколькими управляющими серверами, откуда получает команды злоумышленников и куда отправляет собранные данные. Кроме того, киберпреступники могут управлять троянцем через сервис Firebase Cloud Messaging. Android.Backdoor.736.origin способен выполнять следующие действия:

  • передать на сервер информацию о контактах из телефонной книги;
  • передать на сервер информацию об СМС-сообщениях (в исследованной версии троянца для этого нет необходимых разрешений);
  • передать на сервер информацию о телефонных вызовах;
  • передать на сервер информацию о местоположении устройства;
  • загрузить и запустить apk- или dex-файл с использованием класса DexClassLoader;
  • передать на сервер сведения об установленных программах;
  • скачать и запустить исполняемый файл;
  • загрузить файл с сервера;
  • отправить заданный файл на сервер;
  • передать на сервер информацию о файлах в заданном каталоге или о файлах на карте памяти;
  • выполнить shell-команду;
  • запустить активность, заданную в команде;
  • загрузить и установить Android-приложение;
  • показать уведомление, заданное в команде;
  • запросить заданное в команде разрешение;
  • передать на сервер список разрешений, предоставленных троянцу;
  • не позволять устройству переходить в спящий режим в течение заданного времени.

Все передаваемые на сервер данные троянец шифрует алгоритмом AES. Каждый запрос защищается уникальным ключом, который генерируется с учетом текущего времени. Этим же ключом шифруется ответ сервера.

Android.Backdoor.736.origin способен устанавливать приложения сразу несколькими способами:

  • автоматически, если в системе есть root-доступ (с использованием shell-команды);
  • при помощи системного менеджера пакетов (только для системного ПО);
  • показав стандартный системный диалог установки программ, где пользователь должен согласиться на инсталляцию.

Компания «Доктор Веб» уведомила корпорацию Google о троянце, и на момент публикации этого материала он уже был удален из Google Play.

Темы:ПреступленияGoogle Playфальшивые приложения"Доктор Веб"

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором

Еще темы...