Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Новый Android-вредонос способен самостоятельно покупать приложения в Google Play

Новый Android-вредонос способен самостоятельно покупать приложения в Google Play

Новый Android-вредонос способен самостоятельно покупать приложения в Google Play


05.08.2016



ИБ-исследователи компании "Доктор Веб" обнаружили новое вредоносное ПО для устройств на базе Android, способное при определенных условиях самостоятельно покупать и устанавливать приложения из Google Play. 

 Троян Android.Slicer.1.origin (по классификации "Доктор Веб") устанавливается на мобильные устройства другими вредоносными приложениями. Троян может показывать данные об использовании оперативной памяти и "очищать" ее, завершая работу активных процессов. Вредонос также позволяет включать и отключать беспроводные модули Wi-Fi и Bluetooth.   

 Основным предназначением Android.Slicer.1.origin является показ рекламных объявлений. Однако при определенных условиях троян способен самостоятельно устанавливать программы из Google Play, в том числе и платные. Данное действие становится возможным с помощью другого вредоноса Android.Rootkit.40 (по классификации "Доктор Веб"), представляющего аналог утилиты su для работы с привилегиями суперпользователя. При присутствии этого вредоносного ПО в системном разделе /system/bin, Android.Slicer.1.origin может автоматически покупать и устанавливать приложения из Google Play.

 Android.Slicer.1.origin открывает раздел приложения в каталоге и с помощью Android.Rootkit.40 от имени суперпользователя запускает стандартную системную утилиту uiautomator. Таким образом троян получает информацию обо всех видимых на экране в данный момент окнах и элементах управления. После этого следует поиск сведений о кнопках с идентификатором com.android.vending:id/buy_button (кнопки "Купить" и "Установить") и com.android.vending:id/continue_button (кнопка "Продолжить"). Вредонос находит координаты середины соответствующих кнопок и нажимает на них, пока элементы управления с необходимыми идентификаторами присутствуют на экране.

 Возможности для скрытой покупки и установки приложения у троянской программы достаточно ограничены. Используемые вредоносом идентификаторы кнопок представлены в ОС Android версии 4.3 и выше. Вспомогательная вредоносная программа Android.Rootkit.40 не может работать на устройствах с активным SELinux, т. е. в ОС Android версии 4.4 и выше. По словам исследователей, Android.Slicer.1.origin может самостоятельно приобретать и устанавливать программы из Google Play лишь на устройствах, работающих под управлением Android 4.3.

Securitylab

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"