Trojan zainfekował już 2,8 miliona urządzeń w 155 aplikacjach Google Play

Android.Spy.305.origin, bo tak został nazwany wirus, został stworzony jako reklamowa platforma SDK używana do generowania dochodów z pobierania aplikacji. Odnotowano przynajmniej siedmiu deweloperów, którzy wbudowali Android.Spy.305.origin do swoich aplikacji: MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps i Mothrr Mobile Apps.

Jak podają specjaliści pomiędzy tymi złośliwymi aplikacjami znajdują się “żywe” tapety, katalogi obrazów, programy narzędziowe, edytory zdjęć, aplikacje typu radio FM i inne. Do tej pory zarejestrowano 155 niebezpiecznych aplikacji, które zostały pobrane już ponad 2,8 miliona razy. Doctor Web poinformował Google o odkryciu wirusa i zainfekowanych aplikacjach. Mimo tego, wiele z nich jest wciąż dostępnych do pobrania. Trojan podłącza się do swojego serwera kontrolno-zarządzającego (C&C) i otrzymuje polecenie pobrania dodatkowego modułu — Android.Spy.306.origin, w momencie gdy jedna z zainfekowanych aplikacji zostanie uruchomiona. Ten komponent zawiera główny złośliwy moduł używany przez Android.Spy.305.origin z pomocą klasy DexClassLoader.

Później wirus wysyła do serwera C&C następujące dane: adres e-mail podłączony do konta Google użytkownika, listę zainstalowanych aplikacji, bieżący język systemowy, nazwę producenta urządzenia, model urządzenia mobilnego, identyfikator IMEI, wersję systemu operacyjnego, rozdzielczość ekranu, nazwę operatora sieci mobilnej, nazwę aplikacji zawierającej trojana, ID dewelopera, wersję platformy SDK. W efekcie powyższych działań wirus przystępuje do dostarczania reklam, wyświetlając je na wierzchu uruchomionych aplikacji i interfejsu systemu operacyjnego. Ponadto nakłania użytkowników do pobrania różnego oprogramowania strasząc, że ich urządzenia zostały zainfekowane.

Google Play jest oficjalnym i bezpiecznym źródłem oprogramowania dla Androida, mimo tego ciągle zamieszczane są coraz to nowsze wirusy w dostępnych tam aplikacjach. Dlatego specjaliści zalecają użytkownikom zapoznawanie się z opiniami publikowanymi przez innych użytkowników, szczególnie z tymi negatywnymi oraz pobieranie oprogramowania stworzonego tylko przez sprawdzonych deweloperów.