Android.Slicer.1.origin - Android-троян самостоятельно покупающий программы в Google Play


Android.Slicer.1.origin - вредоносная программа для ОС Android, способная самостоятельно покупать и устанавливать программы из каталога Google Play. Однако, основная ее функция – показ рекламы.

Вредонос представляет собой небольшую сервисную утилиту с набором простых функций:

  • она может отслеживать интенсивность загруженности оперативной памяти и позволяет очищать ее, завершая работающие процессы;
  • дает возможность управлять беспроводными соединениями;
  • настраивать яркость экрана и т.п.


Примечательно то, что это приложение не имеет собственного ярлыка в графической оболочке операционной системы, поэтому пользователь не может запустить его самостоятельно.

Android.Slicer.1.origin Otsutstvie yarlika vredonosa 1Android.Slicer.1.origin Otsutstvie yarlika vredonosa 2Android.Slicer.1.origin Otsutstvie yarlika vredonosa 3

Спустя некоторое время после начала работы, а также при включении или отключении экрана и Wi-Fi-модуля, вредоносная программа передает на управляющий сервер следующие данные:

  • информацию об IMEI-идентификаторе зараженного устройства;
  • сведения о MAC-адресе Wi-Fi-адаптера;
  • наименование производителя устройства;
  • версию операционной системы.


В ответ троян получает задания для показа рекламы, а именно:

  • добавить ярлык на домашний экран ОС;
  • показать рекламный баннер;
  • открыть ссылку в браузере или в каталоге Google Play.

Android.Slicer.1.origin Reklamiruet prilojeniya 1Android.Slicer.1.origin Reklamiruet prilojeniya 2

Кроме того, в определенных случаях Android.Slicer.1.origin способен не только открывать заданные разделы каталога Google Play, рекламируя программы, но и самостоятельно устанавливать соответствующие приложения, в том числе и платные. Троян реализует эту функцию, если в системном каталоге /system/bin находится файл с именем .run-us, который является трояном Android.Rootkit.40, представляющим собой аналог утилиты su.

Для этого Android.Slicer.1.origin открывает раздел приложения в каталоге и с использованием Android.Rootkit.40 от имени root запускает стандартную системную утилиту uiautomator, предназначенную для тестирования графического интерфейса разработчиками ПО. С ее использованием при помощи команды

  • "uiautomator dump имя_файла"

создает файл, в который в формате xml заносит информацию обо всех окнах и элементах управления, видимых в данный момент на экране. Затем троян ищет в этом файле следующие идентификаторы:

  • com.android.vending:id/buy_button (соответствует кнопкам "Установить" и "Купить");
  • com.android.vending:id/continue_button (соответствует кнопке "Продолжить").


Далее при помощи команды

  • "input tap X Y"

где X и Y – координаты середины нужной кнопки;

самостоятельно нажимает на кнопку до тех пор, пока соответствующий элемент интерфейса присутствует на экране. Таким образом, Android.Slicer.1.origin может автоматически установить любое бесплатное приложение из Google Play, а также купить в нем платную программу или игру. Данную операцию троян может выполнить лишь на устройствах, работающих под управлением Android 4.3, поскольку идентификаторы нужных кнопок присутствуют только в ОС Android 4.3 и выше, а Android.Rootkit.40 не может работать на устройствах с активным SELinux (Android 4.4 и выше).