Новый тип рекламных приложений на Android производит рутирование устройств

Поддельные версии популярных на мобильной операционной системе Android приложений, снижающие безопасность устройств и крайне трудные для устранения, встречаются всё чаще. Исследователи из компании Lookout обнаружили более 20 тысяч образцов подобных троянов. Обычно это полнофункциональные копии известных приложений, в том числе таких популярных, как Candy Crush, Facebook, Google Now, NYTimes, Okta, SnapChat, Twitter и WhatsApp, с внедрённым в них вредоносным кодом.

Целью распространителей этого кода является агрессивное отображение рекламы на устройствах. Главным отягчающим обстоятельством является то, что без ведома владельцев они выполняют рут (взлом) устройства, в отличие от традиционных adware-приложений. Это не даёт пользователям возможности удалить их из операционной системы. Приложения с правами администратора могут выйти за пределы ограниченной «песочницы» и взять контроль над всем устройством, его приложениями, их паролями и данными.

Хорошей новостью является то, что большая часть опасных приложений располагаются в сторонних магазинах, тогда как большинству пользователей вполне хватает возможностей магазина Google Play Store. Однако меньшинство в данном случае означает миллионы пользователей, которым нужны приложения, не получившие допуск в Play Store.

Большая часть опасных приложений найдены в США, Германии, Иране, России, Индии, Ямайке, Судане, Бразилии, Мексике и Индонезии. Зафиксировано три отдельных семейства вредоносных программ под названием Shedun, Shuanet и ShiftyBug. Каждая из них использует разные уязвимости, в том числе специфичные для конкретных моделей устройств. ShiftyBug, например, содержит восемь эксплоитов. Злоумышленники наверняка используют автоматические средства перепаковки приложений из магазина Play Store, в пользу чего говорит большое количество выявленных образцов.

Исследователи ожидают в будущем повышения сложности подобных троянов, что позволит им давать вредоносным приложениям права на чтение и запись в системные папки и лучше скрывать следы своей деятельности.