Компания «Доктор Веб» обнаружила новое вредоносное ПО для устройств на базе Android, способное при определённых условиях самостоятельно покупать и устанавливать приложения из Google Play.

Троян Android.Slicer.1.origin (по классификации «Доктор Веб») устанавливается на мобильные устройства другими вредоносными приложениями. Троян может показывать данные об использовании оперативной памяти и «очищать» ее, завершая работу активных процессов. Вредонос также позволяет включать и отключать беспроводные модули Wi-Fi и Bluetooth. Основным предназначением Android.Slicer.1.origin является показ рекламных объявлений. Однако при определённых условиях троян способен самостоятельно устанавливать программы из Google Play, в том числе и платные. Данное действие становится возможным с помощью другого вредоноса Android.Rootkit.40 (по классификации «Доктор Веб»), представляющего аналог утилиты su для работы с привилегиями суперпользователя. При присутствии этого вредоносного ПО в системном разделе /system/bin, Android.Slicer.1.origin может автоматически покупать и устанавливать приложения из Google Play.

Android.Slicer.1.origin открывает раздел приложения в каталоге и с помощью Android.Rootkit.40 от имени суперпользователя запускает стандартную системную утилиту uiautomator. Таким образом троян получает информацию обо всех видимых на экране в данный момент окнах и элементах управления. После этого следует поиск сведений о кнопках с идентификатором com.android.vending:id/buy_button (кнопки «Купить» и «Установить») и com.android.vending:id/continue_button (кнопка «Продолжить»). Вредонос находит координаты середины соответствующих кнопок и нажимает на них, пока элементы управления с необходимыми идентификаторами присутствуют на экране.

Возможности для скрытой покупки и установки приложения у троянской программы достаточно ограничены. Используемые вредоносом идентификаторы кнопок представлены в ОС Android версии 4.3 и выше. Вспомогательная вредоносная программа Android.Rootkit.40 не может работать на устройствах с активным SELinux, т. е. в ОС Android версии 4.4 и выше.