Вирусные аналитики компании «Доктор Веб» обнаружили в официальном магазине Google Play десятки игровых приложений, скрывающих в себе троян. Основное предназначение вредоносного кода Android.Xiny.19.origin — загрузка, установка и запуск программ по команде злоумышленников. Кроме того, троян способен показывать навязчивую рекламу, сообщили в «Доктор Веб».

Вирусописатели встроили данного трояна в более чем 60 игр, которые затем разместили в каталоге Google Play от имени более чем 30 разработчиков, в частности, Conexagon Studio, Fun Color Games, BILLAPPS и многих других. «Доктор Веб» уже оповестил Google о данном инциденте, но на момент публикации компанией данного материала заражённые игры ещё оставались в Google Play — рекомендуется не скачивать игры из каталога в ближайшие часы на устройствах, не защищённых антивирусом.

На первый взгляд, выявленные программы мало чем отличаются от множества других подобных приложений — несмотря на то, что качество их весьма посредственное, после запуска они все же предоставляют владельцам Android-смартфонов и планшетов заявленный функционал. Однако если бы пользователи заранее знали о скрытом в них трояне, они вряд ли согласились бы на инсталляцию данного ПО. Дело в том, что Android.Xiny.19.origin передает на сервер информацию об IMEI-идентификаторе и MAC-адресе зараженного устройства, версии и текущем языке ОС, наименовании мобильного оператора, доступности карты памяти, имени приложения, в которое встроен троян, а также о том, находится ли соответствующая программа в системном каталоге.

Однако главная опасность Android.Xiny.19.origin заключается в том, что по команде злоумышленников он может скачивать и динамически запускать произвольные apk-файлы. При этом данная функция трояна реализована весьма интересным способом. В частности, для маскировки вредоносного объекта вирусописатели прячут его в специально созданных изображениях, фактически применяя метод стеганографии. В отличие от криптографии, когда исходная информация шифруется, а сам по себе факт шифрования может вызвать подозрение, стеганография позволяет скрывать те или иные данные незаметно. Судя по всему, находчивые вирусописатели подобным образом решили усложнить жизнь вирусным аналитикам с расчетом на то, что они не обратят внимания на внешне безобидные картинки.

Получив от управляющего сервера нужное изображение, Android.Xiny.19.origin при помощи специального алгоритма извлекает из него спрятанный apk-файл, который в дальнейшем запускает на исполнение.

Android.Xiny.19.origin обладает и другими вредоносными функциями. В частности, троян может загружать и предлагать владельцу зараженного устройства установить различное ПО, а при наличии в системе root-доступа и вовсе инсталлировать и удалять приложения без ведома пользователя. Помимо этого, вредоносная программа способна показывать всевозможную рекламу.

Специалисты призывают владельцев мобильных Android-устройств не устанавливать сомнительное ПО, даже если оно находится в официальном каталоге. Все приложения, которые содержат трояна Android.Xiny.19.origin, детектируются и обезвреживаются антивирусными продуктами Dr.Web для Android.