Эксперты Trend Micro сообщили о новой угрозе в Google Play. Всего им удалось обнаружить свыше 800 приложений, в которых содержится вредоносная рекламная библиотека. Она может быть использована для инсталляции дополнительного ПО, шпионажа за пользователями и кражи данных.
Xavier входит в семейство вредоносного ПО AdDown, появившееся в 2015 году. Первая версия AdDown, выявленная экспертами, – Joymobile – могла дистанционно выполнять произвольный код. Но эта рекламная библиотека, прежде всего, осуществляла инсталляцию дополнительных APK-файлов. Эта процедура осуществлялась скрытно от владельца устройства.
Функционал последующих версий AdDown был существенно расширен. Xavier, помимо выполнения своей основной задачи – установки дополнительного ПО, может уклоняться от обнаружения, избегая статического и динамического анализа. Xavier умеет дистанционно выполнять произвольный код, получаемый с командного сервера, а также похищает пользовательскую информацию, включая идентификатор и модель устройства, версию операционной системы, данные о производителе и операторе связи, адрес электронной почты владельца и перечень установленных приложений.
В общей сложности инфицированные приложения были загружены миллионы раз. Больше всего от их активности пострадали вьетнамские, индонезийские и филиппинские пользователи.
Эксперты Trend Micro передали на этой неделе информацию о проблеме в Google, вследствие чего было удалено 75 приложений, зараженных Xavier.
