Ghost Push - вредоносное ПО, компрометирующее Android-системы


Ghost Push (Trend Micro) - вредоносное ПО, предназначенное для компрометации Android-системы. Вредоносную программу трудно обнаружить, а еще труднее устранить.

Распространяется вредонос посредством инфицированных приложений, которые пользователь скачивает из интернет-магазинов сторонних производителей. Примечательно, ранее эксперты выявили 39 оригинальных и поддельных приложений, которые способствуют распространению Ghost Push. В их число вошли:

  • WiFi Enhancer;
  • Amazon;
  • Super Mario;
  • Memory Booster;
  • WordLock.


Самая высокая активность вредоноса была замечена в сентябре текущего года.

В настоящее время Ghost Push получил 20 различных модификаций. Теперь вредоносы не только шифруют APK-файл, используемый для инсталляции и распространения ПО, и шелл-код, но и переименовывают файл .apk, предназначенный для установки вредоносного кода. Помимо этого, хакеры добавили guard code, который служит для мониторинга собственных процессов.

Сразу после установки на системе вредоносное ПО незаметно запускает DEX-файл, который активизирует другие вредоносные процессы. Это делается для того, чтобы автоматически запускать приложение. Сам вредонос сохраняет полезную нагрузку в памяти с целью избежать удаления Ghost Push после обновления. Вредоносное ПО способно:

  • устанавливать нежелательные приложения и рекламу;
  • вести наблюдение за действиями пользователя;
  • похищать персональную информацию.


В настоящее время вредонос может распространяться и через варианты таких приложений, как:

  • Demo;
  • Photo Background Changer Ultimate;
  • Puzzle Bubble-Pet Paradise;
  • RootMasterDemo;
  • SuperZoom;
  • Door Screen Locker.


Установлено, что хакеры уже успели опубликовать 650 версий различных вредоносных приложений в магазинах сторонних производителей. А одна из таких программ уже успела инфицировать 100 тысяч мобильных устройств.

На сегодняшний день вредонос Ghost Push инфицирует более 600 тысяч мобильных устройств в день.