Новый Android-троян незаметно скачивает приложения из Google Play

Специалисты компании «Доктор Веб» предупредили о появлении нового Android-трояна, способного внедряться в активный процесс Play Маркет и незаметно накручивать счетчик установок в каталоге Google Play.

Вредонос, получивший название Android.Skyfin.1.origin (по классификации «Доктор Веб»), предположительно распространяется посредством других троянов-загрузчиков, которые после инфицирования мобильного устройства пытаются получить доступ с правами суперпользователя и скрыто установить дополнительное вредоносное ПО.

Оказавшись на системе, Android.Skyfin.1.origin внедряет в процесс программы Play Маркет вспомогательный троянский модуль (Android.Skyfin.2.origin), который крадет различные данные, в том числе уникальный идентификатор мобильного гаджета и учетной записи его владельца, коды авторизации для подключения к каталогу Google Play и иную конфиденциальную информацию. Добытые сведения вместе с технической информацией об устройстве отправляются на управляющий сервер злоумышленников.

При помощи собранных данных троян подключается к каталогу Google Play и имитирует работу приложения Play Маркет. Вредонос способен осуществлять поиск в каталоге, отправлять запросы на приобретение программ, подтверждать покупку, подтверждать согласие с условиями лицензионного соглашения, запрашивать ссылки для скачивания apk-файла из каталога, подтверждать скачивание приложения.

Загруженные программы вредонос сохраняет на карту памяти, не устанавливая их. Тем самым троян повышает шансы избежать обнаружения и может продолжать накручивать счетчик установок, искусственно повышая популярность приложений в online-каталоге Google.