Android.SmsSend.315.origin распространяется при помощи Airpush


Android.SmsSend.315.origin - троян, распространяющийся при помощи рекламной платформы Airpush, которая используется многими разработчиками для зарабатывания денег на создаваемых ими приложениях. К сожалению, демонстрируемые этой системой сообщения могут ввести пользователей в заблуждение и привести к загрузке вредоносной программы.

Специалистами компании "Доктор Веб" было изучено приложение для Android - GooglePlay_install.apk, на которое "ругался" антивирус Доктор Веб для Android. В результате изучения специалисты выявили в нем трояна Android.SmsSend.315.origin, и определили, что данное приложение является поддельным инсталлятором и фактически взимает плату за доступ к бесплатным приложениям, отправляя платные СМС на короткий номер. Проведенное расследование также позволило выявить, что источником распространения этого трояна является рекламная система Airpush.

Многие игры и приложения для ОС Android являются бесплатными, однако чтобы окупить вложенные в их создание средства и время, разработчики зачастую используют специальные системы, которые встраиваются непосредственно в целевую программу и демонстрируют пользователям различные рекламные сообщения. К таким системам относится популярная рекламная платформа Airpush. Она демонстрирует рекламу в приложениях в специально отведенных для этого местах, однако некоторые версии этого модуля могут также отображать различные диалоговые окна как при работе с программой, так и без ее непосредственно запуска. При этом содержимое самих рекламных сообщений может быть абсолютно любым, чем и воспользовались злоумышленники, решившие таким образом распространять трояна Android.SmsSend.315.origin.

Демонстрируемое модулем Airpush диалоговое окно может предлагать загрузить некое обновление для ОС Android, и невнимательный пользователь способен с легкостью принять его за "официальное" сообщение от операционной системы.

Modul obnovleniya dlya Android ot Airpush

После нажатия на соответствующую кнопку выполняется процедура загрузки вредоносного пакета, который вслед за установкой и запуском демонстрирует процесс инсталляции требуемого приложения, в данном случае – приложения GooglePlay.

Zagruzka vredonos paketa 1 Zagruzka vredonos paketa 2 Zagruzka vredonos paketa 3 Zagruzka vredonos paketa 4

На самом деле троян лишь создает видимость процесса установки, после чего отображает на экране ссылку на загрузку настоящего каталога Google Play, одновременно с этим опустошая мобильный счет пользователей на сумму от 170 до 240 рублей.