Android.Androways.1.origin заражает приложения в Google Play каталоге


Hit WebВ официальном каталоге Google Play были обнаружены 28 приложений, содержащих вредоносный рекламный модуль, способный загружать троянов для мобильной платформы Android.

Киберпреступники решили использовать для распространения троянских программ возможности рекламных сетей для мобильных устройств. Среди таких троянов наиболее популярными являются трояны семейства Android.SmsSend, предназначенные для отправки дорогостоящих СМС-сообщений и подписки пользователей на платные контент-услуги.

В случае с вредоносным рекламным модулем, то здесь киберпреступники решили создать себе собственную рекламную платформу, т.е. они решили внедрить вредоносный код в созданную собой рекламную сеть.

На первый взгляд данная платформа ничем не отличается от остальных, представленных на рынке. Сеть предлагает Android-разработчикам заманчивые условия использования рекламного API, обещая высокий и стабильный доход, а также удобство управления и контроля учетных записей. Эти условия и вызвали серьезный интерес разработчиков приложений к новой платформе.

Для отображения рекламных сообщений в этом рекламном API используется push-метод, когда в панель состояния мобильного Android-устройства выводится то или иное информационное уведомление. Однако помимо заявленных функций данная платформа содержит ряд скрытых возможностей.

Kritical update adware modules for Android

Например, в push-уведомлениях от мошеннической рекламной сети может демонстрироваться информация о необходимости установки важного обновления для тех или иных приложений. В случае согласия пользователя на установку такого "обновления", рекламный модуль загружает некоторый apk-пакет и помещает его на карту памяти в каталог загрузок

  • /mnt/sdcard/download


Также этот модуль может создать ярлык на главном экране мобильного устройства, который связанный с только что загруженным ПО. При нажатии пользователя на этот ярлык будет инициирован процесс установки соответствующей ему программы.

Загружаемые таким образом apk-файлы являются представителями семейства троянских программ Android.SmsSend. Далее удалось установить источник, откуда происходит загрузка данных троянов, а точнее сервера, на IP-адресах которых зарегистрированы различные поддельные каталоги приложений. В частности, в трех проанализированных приложениях мошенническая рекламная платформа использует связь с управляющим сервером по адресу

  • 188.130.xxx.xx

а в остальных двадцати пяти – связь осуществляется через управляющий сервер с адресом

  • 91.226.xxx.xx

Prilojenie for Android

Полный список команд с управляющих серверов, способные принимать и выполнять вредоносной рекламной платформой

  • news – показать push-уведомление
  • showpage – открыть веб-страницу в браузере
  • install – скачать и установить apk
  • showinstall – показать push-уведомление с установкой apk
  • iconpage – создать ярлык на веб-страницу
  • iconinstall – создать ярлык на загруженный apk
  • newdomen – сменить адрес управляющего сервера
  • seconddomen – запасной адрес сервера
  • stop – прекратить обращаться к серверу
  • testpost – посылает запрос повторно
  • ok – ничего не делать


Кроме выполнения вышеперечисленных команд, мошеннический модуль также может собирать и отправлять на мошеннические сервера:

  • imei мобильного устройства;
  • код оператора;
  • номер imsi сотового телефона.


Особая опасность данного рекламного API заключается в том, что он используется приложениями, расположенными в официальном каталоге Google Play, который считается наиболее безопасным источником Android-программ. А в связи с тем, что многие пользователи привыкли доверять безопасности Google Play, то число установок пораженных данным рекламным модулем программ весьма велико. Из статистики компании "Доктор Веб" справедливо утверждать, что возможное число пострадавших может достигать более чем 5,3 млн. пользователей. А это значит, что данный случай заражения вредоносными приложениями, является крупнейшим и наиболее массовым со времен ввода антивирусной системы Google Bouncer.

Apps by RoyalGames LtdApps by FedorovaDev

Вредоносный модуль для рекламных сетей под Android был отнесен к adware-системам и получил наименование - Android.Androways.1.origin.


Обновлено (24.04.2013 01:12)