Компания «Доктор Веб» объявила об обнаружении опасного трояна для Android, который используется для заработка на дорогостоящих подписках, а также для распространения других вредоносных приложений.

Троян под названием Android.Valeriy.1.origin разработчики встроили в безобидное ПО. Он распространяется через шесть приложений, доступных в Google Play: Battery Booster; Power Booster; Blue Color Puzzle; Blue And White; Battery Checker; Hard Jump – Reborn 3D. Все они являются играми и сервисными утилитами, и к настоящему моменту в общей сложности из каталога их загрузили, по данным компании, более 15 500 пользователей. В то же время управляющий сервер трояна, к которому получили доступ специалисты «Доктора Веб», содержит сведения о более чем 55 000 уникальных установках. Вирусные аналитики компании передали в компанию Google информацию о программах, скрывающих в себе Android.Valeriy.1.origin, однако на момент выхода заметки они все ещё присутствовали в каталоге.

После запуска инфицированных игр и приложений вредоносный модуль соединяется с управляющим сервером и получает от него задание, содержащее специально сформированную ссылку. Троян автоматически переходит по указанной ссылке, которая ведёт на промежуточный веб-сайт, и тот, в зависимости от различных параметров, передаёт вредоносному приложению конечный URL. В большинстве случаев этот URL ведёт на сомнительные веб-порталы, основная задача которых — получить номер мобильного телефона потенциальных жертв и подписать их на услугу, за использование которой ежедневно будет взиматься плата. Среди рекламируемых трояном сервисов может встретиться, например, предложение посмотреть материалы эротического характера, а также скачать популярное ПО, которое на самом деле является бесплатным и доступно для загрузки в каталоге Google Play. Несмотря на то, что информация о факте подписки и ее стоимости указана на загружаемых страницах, многие пользователи могут ее просто не заметить и указать свой номер телефона.