10 октября 2016

400 троянцев в Google Play

Новости Угрозы

Мы часто рекомендуем пользователям устройств на Android скачивать программы только из официальных магазинов. Желательно — из Google Play, поскольку для того, чтобы в него попасть, приложение должно пройти достаточно серьезную проверку.

Тем не менее довольно регулярно туда просачиваются и всякие зловредные приложения, а недавно произошел особенно масштабный инцидент — сразу 400 программ в Google Play (и еще почти 3 тысячи в других магазинах приложений) оказались заражены трояном DressCode.
Троян DressCode обнаружен более чем в 400 приложениях в магазине Google Play.

Свое забавное название троян получил из-за того, что впервые (в августе 2016-го) был обнаружен в играх для девочек, которые можно охарактеризовать как «симуляторы куклы Барби» (по-английски этот жанр называется Dress-up).

На тот момент игру из Google Play скачали от 100 тысяч до 500 тысяч раз. Также были найдены и другие приложения, в которых обнаружился тот же троян, — всего на тот момент их было более 400, из них около 40 — в Google Play. Исследователи предупредили Google, и поисковый гигант удалил вредоносные программы из своего магазина.

Троян заинтересовал другую команду исследователей, которая решила поискать несколько тщательнее — и на днях обнаружила сразу около 3 тысяч программ в разных магазинах приложений, зараженных троянцем DressCode. Из них порядка 400 были опубликованы в Google Play.

Почти все эти приложения представляют собой мобильные игры или программы околоигровой тематики — советы по прохождению или модификации для игр. Также среди вредоносных программ нашлись «оптимизаторы» работы телефона и прочие псевдополезные утилиты.

Главная проблема с DressCode заключается в том, что его довольно сложно обнаружить, поскольку код трояна очень мал по сравнению с остальным кодом программы, в которую он встроен. Видимо, именно поэтому при проверке загружаемых в Google Play приложений его столько раз не замечали.

Что же делает DressCode?

В принципе деятельность DressCode ограничивается тем, что этот троян устанавливает подключение к командному серверу. Чаще всего сразу после этого сервер выдает трояну команду «спать», так что моментально обнаружить заражение не получится. Но когда злоумышленник захочет воспользоваться зараженным устройством, он может превратить его в прокси-сервер, перенаправляя с его помощью интернет-трафик.

Что это дает киберпреступникам?

Во-первых, зараженные устройства можно использовать как ботнет, направляя запросы на конкретные IP-адреса. Таким образом можно накручивать трафик, генерировать клики по баннерам или платным ссылкам или же организовывать DDoS-атаки, пытаясь вывести из строя какие-либо сайты.

Во-вторых, если зараженное устройство (скажем, корпоративный смартфон) имеет доступ к каким-либо локальным ресурсам, то к ним могут получить доступ и злоумышленники. Это в теории позволит им воровать данные.

Как не стать частью ботнета?

Это тот случай, когда совет «скачивать приложения только из официальных магазинов» не работает. Да, в Google Play зараженных приложений меньше, чем в других магазинах программ для Android, но 400 — это все равно очень много. При этом среди них есть и разошедшиеся немалым тиражом — скажем, мод для популярной игры Minecraft в стиле не менее популярной игры GTA 5 (да, и такое бывает). Его, между прочим, скачали более 500 тысяч человек.

Так что здесь мы можем дать всего два совета:

1. Аккуратнее относитесь к тому, какие приложения вы скачиваете. Прежде чем устанавливать на свое устройство что-то незнакомое, почитайте отзывы, посмотрите список прав доступа, которые приложение требует для работы, и подумайте. Да, отзывам тоже нельзя доверять на 100%, тем не менее это хотя бы что-то.

2. Обязательно устанавливайте защитное решение на свои мобильные устройства. Kaspersky Antivirus & Security для Android распознает троянца DressCode как HEUR:Backdoor.AndroidOS.Sobot.a. Если у вас установлена платная версия нашей защиты, которая автоматически сканирует все новые приложения, то ни одна утилита с притаившимся в ней DressCode не сможет попасть на ваш смартфон или планшет. Если же у вас бесплатная версия, то не забывайте почаще проводить полное сканирование устройства.