Android.DownLoader.49.origin и другие трояны-загрузчики для Android


Android.DownLoader.49.origin - вредоносная программа-загрузчик, представляющая собой стандартное Android-приложение.

Запуск вредоноса происходит после его установки в качестве системного сервиса. В результате троян соединяется с удаленным сервером, откуда и получает список объектов, необходимых для загрузки. Среди них присутствует ряд содержащих dex-файлы архивов, которые помещаются на карту памяти в каталог

  • /cache/sysjar/

и затем при помощи метода DexClassLoader загружаются в оперативную память мобильного устройства. Так один из этих исполняемых файлов представляет собой трояна-загрузчика Android.DownLoader.43.origin - трояна, способного скачивать различные приложения, включая вредоносные. Другой файл содержит трояна-дроппера, который, в зависимости от модификации, при наличии root-доступа может устанавливать другие вредоносные приложения в системный каталог.

Android service slujba Cache sysjar

Также Android.DownLoader.49.origin может загружать и ряд различных программ, также устанавливаемых без разрешения пользователя. При отсутствии root-доступа, владелец мобильного устройства увидит стандартный системный запрос на установку скачанной программы.

Известно, что троян Android.DownLoader.43.origin способен аналогичным образом связываться с удаленным сервером для получения списка приложений для загрузки и установки на инфицируемом мобильном устройстве. Также в этом списке присутствуют и другие трояны-загрузчики, обладающие схожим функционалом.

Получается, что вирусописатели создали цепочку из вредоносных программ, осуществляющих распространение, как друг друга, так и приложений, установка которых по тем или иным причинам выгодна для киберпреступников. Так в общей сложности было обнаружено около 10 подобных троянов-загрузчиков, а сервер, принадлежащий злоумышленникам, содержит почти 600 программ, предназначенных для несанкционированной установки.

Android downloader files

Наиболее вероятным мотивом создателей данной схемы, является несанкционированная установка различных приложений на мобильные устройства пользователей с целью их незаконной популяризации и получения соответствующего заработка с каждой их инсталляции. Однако кроме обычных программ, по команде с сервера в любой момент могут быть загружены и такие вредоносные приложения, как СМС-трояны или трояны-шпионы, способные принести владельцам этой сети дополнительный доход.