Image Image Image Image Image Image Image Image Image Image

TechnoDaily: Гид в мире гаджетов | 18 августа 2018

Перейти на верх

Верх

без комментариев

На Google Play обнаружен троян, самостоятельно устанавливающий приложения

Владимир Осадчий

Компания «Доктор Веб» обнаружила новое вредоносное ПО для устройств на базе Android, способное при определённых условиях самостоятельно покупать и устанавливать приложения из Google Play.

3

Троян Android.Slicer.1.origin (по классификации «Доктор Веб») устанавливается на мобильные устройства другими вредоносными приложениями. Троян может показывать данные об использовании оперативной памяти и «очищать» ее, завершая работу активных процессов. Вредонос также позволяет включать и отключать беспроводные модули Wi-Fi и Bluetooth. Основным предназначением Android.Slicer.1.origin является показ рекламных объявлений. Однако при определённых условиях троян способен самостоятельно устанавливать программы из Google Play, в том числе и платные. Данное действие становится возможным с помощью другого вредоноса Android.Rootkit.40 (по классификации «Доктор Веб»), представляющего аналог утилиты su для работы с привилегиями суперпользователя. При присутствии этого вредоносного ПО в системном разделе /system/bin, Android.Slicer.1.origin может автоматически покупать и устанавливать приложения из Google Play.

Android.Slicer.1.origin открывает раздел приложения в каталоге и с помощью Android.Rootkit.40 от имени суперпользователя запускает стандартную системную утилиту uiautomator. Таким образом троян получает информацию обо всех видимых на экране в данный момент окнах и элементах управления. После этого следует поиск сведений о кнопках с идентификатором com.android.vending:id/buy_button (кнопки «Купить» и «Установить») и com.android.vending:id/continue_button (кнопка «Продолжить»). Вредонос находит координаты середины соответствующих кнопок и нажимает на них, пока элементы управления с необходимыми идентификаторами присутствуют на экране.

Возможности для скрытой покупки и установки приложения у троянской программы достаточно ограничены. Используемые вредоносом идентификаторы кнопок представлены в ОС Android версии 4.3 и выше. Вспомогательная вредоносная программа Android.Rootkit.40 не может работать на устройствах с активным SELinux, т. е. в ОС Android версии 4.4 и выше.

Оставить комментарий