Журнал о технологиях

С иx пoмoщью злoумышлeнники пoлучaют вoзнaгрaждeниe зa кaждoe успeшнoe скaчивaниe или устaнoвку тoгo или инoгo прилoжeния. Oнa мoжeт скaчивaть любые приложения из каталога — для этого троянец получает от злоумышленников список программ для загрузки. Одна из них умеет скачивать из каталога Google Play единственное приложение — com.op.blinkingcamera. Один из таких троянцев, Android.Skyfin.1.origin, которого обнаружили эксперты «Доктора Веб», внедряется в активный процесс программы «Play Маркет» и незаметно накручивает счетчик установок в каталоге Google Play. Среди бесчисленных Android-троянцев широкое распространение получили вредоносы, которые незаметно загружают ПО на мобильные устройства. Android.Skyfin.1.origin предположительно попадает на мобильные устройства благодаря некоторым троянцам семейства Android.DownLoader, которые после заражения смартфонов и планшетов пытаются получить root-доступ и скрытно устанавливают вредоносные программы в системный каталог. При запуске Android.Skyfin.1.origin внедряет в процесс программы «Play Маркет» вспомогательный троянский модуль, получивший имя Android.Skyfin.2.origin. Другая модификация Android.Skyfin.1.origin более универсальна. Троянец может выполнять поиск в каталоге для симуляции последовательности действий пользователя, запрос на покупку программ, подтверждение покупки, добавление, удаление и оценку отзывов, а также подтверждение скачивания программы, которое используется для накручивания счетчика установок. В результате троянец увеличивает свои шансы остаться незамеченным и может продолжать накручивать счетчик установок, искусственно повышая популярность приложений в Google Play. Троянец имитирует нажатие на баннер Google AdMob с рекламой этой программы, загружает ее apk-файл и автоматически увеличивает число загрузок, подтверждая «установку» на сервере Google. После скачивания заданного злоумышленниками приложения Android.Skyfin.1.origin не устанавливает его, а лишь сохраняет на карту памяти, поэтому пользователь не видит новые программы, возникшие из ниоткуда. Затем модуль передает эти сведения основному компоненту троянца Android.Skyfin.1.origin, после чего тот вместе с технической информацией об устройстве отправляет их на управляющий сервер. Он крадет уникальный идентификатор мобильного устройства и учетной записи его владельца, которые используются при работе с сервисами Google, различные внутренние коды авторизации для подключения к каталогу Google Play и другие конфиденциальные данные. Используя собранные данные, Android.Skyfin.1.origin подключается к каталогу Google Play и имитирует работу приложения «Play Маркет». Вирусные аналитики компании «Доктор Веб» выявили несколько модификаций Android.Skyfin.1.origin.