Android.SmsSend прячется в аудио и видеопроигрывателях


В каталоге Google Play обнаружены вредоносные программы, устанавливающие на мобильные устройства пользователей троянов семейства Android.SmsSend, отправляющих платные СМС-сообщения и обнуляющих счета абонентов.

Обнаруженные программы были созданы вьетнамским разработчиком. Свое детище он назвал AppStore Jsc, которое представляет собой два аудио-проигрывателя, а также видеоплеер для просмотра эротических роликов.

AppStore Jsc

Количество пользователей, установивших эти приложения

Kol-vo polzov ustanovivshih vredonos priloj

Суммарное число установок всех трех программ составляет от 11 до 25 тысяч.

Эти приложения ничем не выделяются, однако они содержат внутри себя скрытый дополнительный apk-файл, представляющий собой СМС-трояна семейства Android.SmsSend, а именно:

  • Android.MulDrop;
  • Android.MulDrop.1;
  • Android.MulDrop.2.


Во время работы приложений-носителей (проигрывателей), пользователям будет выведено на экран предложение загрузить интересующий их контент. После согласия пользователем на загрузку, начнется процесс установки нового приложения. Так, например, один из "дропперов" предлагает пользователям получить новые эротические видеоролики.

Phim Con Heo XClip

Соглашаясь на установку подозрительного приложения, пользователь автоматически соглашается на инсталляцию на свое мобильное устройство трояна Android.SmsSend.517, скрытно отправляющего СМС на короткий номер 8775, который указан в конфигурационном файле вредоносной программы. Этот троян действительно позволяет просматривать эротические видео. Злоумышленники добавили такую возможность, чтобы перестраховаться и не вызывать лишних подозрений.

Quay

Второй и третий трояны-носители содержат вредоносную программу Android.SmsSend.513.origin, действующую аналогичным с Android.SmsSend.517 образом, только в отличие от него, получают информацию о коротких номерах с управляющего сервера.