В каталоге Google Play специалистами «Доктор Веб» было обнаружено множество игровых приложений, содержащих троянскую программу Android.Xiny.19.origin. Данная вредоносная программа загружает, устанавливает и запускает программы по команде хакеров. Также троянская программа может демонстрировать навязчивую рекламу.
Создатели данной троянской программы внедрили свою разработку в более чем 60 игровых приложений, которые затем были размещены в каталоге Google Play от имени свыше 30 компаний-разработчиков, включая BILLAPPS, Conexagon Studio и Fun Color Games. Сотрудники «Доктор Веб» уже проинформировали Google о сложившейся ситуации. Google рекомендует владельцам устройств, не защищенных антивирусной программой не осуществлять в ближайшие часы загрузку игр из магазина.
Внешне эти игровые приложения не сильно отличаются от прочих подобных программ. Хотя их качество оставляет желать лучшего, после запуска эти игровые приложения предоставляют обладателям Android-устройств заявленный функционал. Но при этом пользователи не подозревают о скрытой в данных приложениях троянской программе.
Android.Xiny.19.origin осуществляет передачу на сервер информации об IMEI-идентификаторе и MAC-адресе инфицированного устройства, версии и языке интерфейса операционной системы, названии мобильного оператора, карте памяти, наименовании приложения, содержащего троянскую программу, а также о том, размещена ли вредоносная игра в системной папке.
Но главная угроза Android.Xiny.19.origin — в возможности загрузки и запуска произвольных apk-файлов по команде хакеров. Разработчики троянской программы реализовали данную функцию нестандартным способом. Так, для того, чтобы скрыть вредоносный объект, хакеры спрятали его в специально созданных изображениях, используя метод стеганографии. Вероятно, таким образом разработчики троянской программы решили усложнить жизнь ИБ-специалистам, надеясь, что внешне безобидные картинки не привлекут их внимания.
После того, как управляющий сервер присылает нужное изображение, Android.Xiny.19.origin, используя специальный алгоритм, извлекает из него скрытый apk-файл и после запускает его.
Кроме того, Android.Xiny.19.origin может предлагать владельцу инфицированного устройства осуществить загрузку и установку различных приложений. В том случае, если троянская программа смогла заполучить root-доступ, то инсталляция и удаление программного обеспечения происходит без ведома пользователя. Также вредоносная программа может демонстрировать навязчивую рекламу.
На данный момент в Android.Xiny.19.origin отсутствует функционал для получения root-доступа, но киберпреступники вполне могут дать троянской программе команду на загрузку набора эксплоитов для дальнейшего получения необходимых прав, чтобы потом незаметно осуществлять инсталляцию и удаление программ.
Специалисты «Доктор Веб» советуют владельцам Android-устройств не осуществлять установку сомнительного программного обеспечения, даже если оно присутствует в официальном каталоге Google Play.