Android.RemoteCode.152.origin – новая версия троянца Android.RemoteCode.106.origin, известного с 2017 года, компания «Доктор Веб» рассказывала о нем в ноябре. Эта вредоносная программа представляла собой программный модуль, который разработчики ПО встраивали в свои приложения и распространяли через каталог Google Play. Основная функция Android.RemoteCode.106.origin – незаметное скачивание и запуск вспомогательных плагинов, предназначенных для загрузки веб-страниц с рекламой и нажатия на расположенные на них баннеры. Новая версия троянца выполняет аналогичные действия.

После первого запуска приложения, в которое встроен троянец, Android.RemoteCode.152.origin автоматически начинает работу через определенные интервалы времени и самостоятельно запускается после каждой перезагрузки устройства. Таким образом, для его работы не требуется, чтобы владелец мобильного устройства постоянно использовал зараженное приложение.

При старте вредоносная программа загружает с управляющего сервера и запускает один из троянских модулей, который был добавлен в вирусную базу Dr.Web как Android.Click.249.origin. В свою очередь, этот компонент скачивает и запускает еще один модуль, основанный на рекламной платформе MobFox SDK. Она предназначена для монетизации приложений. С ее помощью троянец незаметно создает различные рекламные объявления и баннеры, после чего самостоятельно нажимает на них, зарабатывая деньги для киберпреступников. Кроме того, Android.RemoteCode.152.origin поддерживает работу с мобильной маркетинговой сетью AppLovin, через которую также загружает рекламные объявления для получения дополнительного дохода.

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько приложений, в которые был встроен этот троянец. Все они представляют собой различные игры, суммарное число загрузок которых превысило 6 500 000. Специалисты «Доктор Веб» передали в корпорацию Google информацию о найденных программах, и на момент публикации этой новости часть из них была успешно удалена из каталога. При этом некоторые приложения получили обновления, в которых вредоносный модуль уже отсутствует.

Android.RemoteCode.152.origin был обнаружен в следующих программах:

• Beauty Salon - Dress Up Game, версия 5.0.8;
• Fashion Story - Dress Up Game, версия 5.0.0;
• Princess Salon - Dress Up Sophie, версия 5.0.1;
• Horror game - Scary movie quest, версия 1.9;
• Escape from the terrible dead, версия 1.9.15;
• Home Rat simulator, версия 2.0.5;
• Street Fashion Girls - Dress Up Game, версия 6.07;
• Unicorn Coloring Book, версия 134.

Кроме того, при дальнейшем анализе специалисты «Доктор Веб» выявили троянца еще в нескольких приложениях, которые ранее уже были удалены из каталога:

• Subwater Subnautica, версия 1.7;
• Quiet, Death!, версия 1.1;
• Simulator Survival, версия 0.7;
• Five Nigts Survive at Freddy Pizzeria Simulator, версия 12;
• Hello Evil Neighbor 3D, версия 2.24;
• The Spire for Slay, версия 1.0;
• Jumping Beasts of Gang, версия 1.9;
• Deep Survival, версия 1.12;
• Lost in the Forest, версия 1.7;
• Happy Neighbor Wheels, версия 1.41;
• Subwater Survival Simulator, версия 1.15;
• Animal Beasts, версия 1.20.

Примеры ПО со встроенным троянцем Android.RemoteCode.152.origin показаны на следующих изображениях:

Чтобы снизить вероятность заражения мобильных устройств вредоносными и нежелательными программами, специалисты компании «Доктор Веб» рекомендуют устанавливать приложения только от известных и проверенных разработчиков. Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют все известные модификации описанных в этом материале троянцев, поэтому для наших пользователей они опасности не представляют.

Подробнее об Android.RemoteCode.152.origin