Новая вредоносная программа для Android-устройств, которая может самостоятельно осуществлять покупку и установку приложений из Google Play, была обнаружена исследователями информационной безопасности «Доктор Веб».
Установка троянской программы Android.Slicer.1.origin на мобильные устройства осуществляется другими вредоносными приложениями. Она может отображать информацию об использовании оперативной памяти, завершать работу активных процессов, а также включать и отключать модули Bluetooth и Wi-Fi.
Главная задача Android.Slicer.1.origin – демонстрация рекламных объявлений. Но если выполняются определенные условия, то троянская программа может сама проводить установку приложений из Google Play, в том числе платных. Для этой цели Android.Slicer.1.origin вступает во взаимодействие с другой вредоносной программой Android.Rootkit.40, которая является аналогом утилиты su, позволяющей работать с суперпользовательскими правами. Если эта вредоносная программа присутствует в системном разделе /system/bin, то Android.Slicer.1.origin способна автоматически делать покупки в Google Play и осуществлять инсталляцию приобретенных приложений.
Android.Slicer.1.origin открывает раздел приложения в каталоге и благодаря Android.Rootkit.40 инициирует запуск стандартной системной утилиты uiautomator с суперпользовательскими правами. Так троянская программа завладевает информацией о всех элементах управления и окнах, которые сейчас видимы на экране. Затем ведется поиск сведений о кнопках, имеющих идентификаторы «Купить» и «Продолжить». Вредоносная программа ищет координаты центра этих кнопок и нажимает на них, пока на экране находятся элементы управления с нужными идентификаторами.
Как утверждают исследователи, Android.Slicer.1.origin может покупать и инсталлировать приложения из Google Play только на устройствах с Android 4.3.
