Android-троян, отправляющий SMS на платные номера, скачали свыше миллиона раз

Несмотря на предпринимаемые Google попытки обеспечения безопасности магазина Google Play, время от времени в нем появляются разнообразные вредоносные программы. Так, недавно специалисты компании «Доктор Веб» обнаружили утилиту, способную помимо основного функционала выполнять и нежелательные для пользователей действия, такие как рассылку SMS на премиум-номера, а также загрузку и установку других приложений. Примечательно, что число скачавших ее пользователей превысило 1 000 000. Это считается одним из крупнейших подобных инцидентов за последнее время.

Привлекшая внимание экспертов программа является представителем распространенного класса так называемых утилит-оптимизаторов, дающих возможность задействовать те или иные функции мобильного устройства и выполнять на нем настройку определенных параметров. В частности, данная утилита позволяет управлять приложениями (осуществлять их установку, удаление и создание резервных копий), выполнять «очистку памяти», а также контролировать интернет-трафик.

Однако помимо этих функций программа выполняет и ряд скрытых от пользователя действий – неавторизованную загрузку приложений и отправку SMS-сообщений на платные номера. Для этих целей утилита использует несколько сервисов, которые активизируются после ее запуска. Так, один из них служит для связи с удаленным сервером, на который передается информация об устройстве (IMEI- и IMSI-идентификатор) и с которого поступают управляющие команды, такие как:

-создание списка приложений для загрузки;
-параметры для отправки SMS-сообщений (текст и номер получателя);
-создание списка для перехвата определенных входящих сообщений (содержит номер отправителя и текст SMS).

Функция отправки SMS-сообщений задействуется напрямую по команде с управляющего сервера и никак не контролируется пользователем. В связи с наличием подобных опасных возможностей вирусными аналитиками было принято решение классифицировать данную утилиту как вредоносную и внести ее в вирусную базу под именем Android.Backdoor.81.origin.

На момент обнаружения этой программы в каталоге Google Play число ее загрузок превысило 1 000 000 При этом многие пользователи уже успели столкнуться с проблемой неавторизованной отправки SMS на платные номера. По состоянию на 26 мая «вредонос» была все еще доступен в официальном каталоге приложений.