Вирусные аналитики компании «Доктор Веб» выявили трояна в программе, предназначенной для заботы о зрении владельцев Android-устройств. Помимо заявленных в ней возможностей она выполняет и вредоносные действия ― переходит по ссылкам и демонстрирует веб-сайты поверх других приложений.
Приложение под названием Eye Care — Your close Eye Care Assistant доступно в каталоге Google Play с 2018 года, но троянская функциональность появилась в нем лишь в 2019 году, начиная с версии 1.2.11. Вредоносные версии программы были добавлены в вирусную базу Dr.Web как Android.Mixi.44.origin.
Внешне это приложение выглядит безобидно и работает в соответствии с ожиданиями пользователя. Однако после запуска оно незаметно приступает к выполнению вредоносных действий.
Android.Mixi.44.origin собирает и передает на C&C-сервер следующую информацию о зараженном устройстве:
- уникальный идентификатор пользователя, генерируемый трояном;
- уникальный идентификатор устройства;
- рекламный идентификатор Google;
- версию операционной системы;
- версию приложения, в которое встроен троян;
- версию приложения Play Маркет, установленную на устройстве;
- версию движка WebView.
Одной из его функций является мошенническая монетизация недавно выполненных установок приложений. Для этого Android.Mixi.44.origin постоянно отслеживает факт установки и удаления программ, сохраняя информацию о каждом таком действии.
Подключаясь к C&C-серверу, троян получает от него ссылку на сайт, с которого передается список веб-адресов для посещения. С интервалом в несколько секунд он незаметно загружает каждый из них в невидимом WebView. Если полученная в результате цепочки перенаправлений ссылка ведет на страницу приложения, размещенного в каталоге Google Play, но еще не установленного на устройство, троян запоминает имя пакета этого приложения и время перехода по ссылке. Далее он просто ожидает момента, когда пользователь выполнит установку нужной программы. Если в дальнейшем Android.Mixi.44.origin обнаруживает установку такого приложения, он передает в сервис рекламной аналитики, отслеживающий успешно выполненные рекламные задания, имя пакета, а также реферал-идентификатор (идентификатор участника партнерской программы). Таким образом троян пытается обмануть этот сервис и присвоить злоумышленникам установку приложения, которую пользователь выполнил самостоятельно и без их участия.
Основными функциями Android.Mixi.44.origin являются показ рекламы, накрутка счетчиков популярности веб-сайтов, а также его потенциальное применение в фишинг-атаках.
Антивирусные продукты Dr.Web для Android успешно детектируют все известные модификации Android.Mixi.44.origin, а также других троянов этого семейства, поэтому для наших пользователей те опасности не представляют. Для удаления вредоносных Android-приложений из системных директорий необходимо комплексное решение Dr.Web Security Space для Android, а также наличие root-доступа.
