Начиная с июля 2016 года, в официальном магазине приложений Google Play был доступен для скачивания троянец, детектируемый продуктами «Лаборатории Касперского» как HEUR:Trojan.AndroidOS.Ztorg.ad. Зловред являлся частью приложения «Guide For Pokemon Go», руководства к популярной игре Pokemon GO. По данным Google Play за прошедший месяц вредоносный гайд загрузили более 500 000 раз.
Самозащита троянца
Чтобы избежать обнаружения, троянец Ztorg.ad использует несколько слоев защиты. Во-первых, зараженное приложение упаковано коммерческим упаковщиком. Во-вторых, вредоносная активность начинается не сразу после запуска приложения, а только при определенном наборе условий — после того, как пользователь установит или удалит любое другое приложение, троянец проверит, не на виртуальной ли машине он запущен. Если зловред придет к выводу, что работает на настоящем устройстве, он подождет два часа перед тем, как начать свою вредоносную деятельность. Наконец, код троянца обфусцирован.
Процесс заражения
По прошествии двух часов троянец обращается к управляющему серверу, загружая туда данные о зараженном устройстве, в том числе язык устройства, страну, модель, версию операционной системы, IMSI. В ходе первого запроса к управляющему серверу троянец получит ответ, готов ли сервер с ним коммуницировать. Таким образом злоумышленники на стороне сервера могут отсеять нежелательных пользователей (например, по стране их местоположения) или автоматические системы проверки.
Если от управляющего сервера пришел ответ, содержащий определенную строку, то троянец сделает похожий запрос, в результате которого ему должен прийти JSON-файл, содержащий ссылку на вредоносный файл, который троянец скачает, расшифрует и запустит. По ссылке, полученной нами в результате коммуникации с управляющим сервером, был скачан файл, детектируемый продуктами «Лаборатории Касперского» как HEUR:Trojan.AndroidOS.Ztorg.a.
Этот файл, Ztorg.a, после расшифровки будет загружен троянцем Ztorg.ad как внешний модуль. После запуска он загрузит на устройство файлы, большая часть которых определяются как вредоносные, а также несколько легитимных программ, таких как busybox и chattr. Среди вредоносных файлов мы обнаружили несколько наборов эксплойтов, предназначенных для получения прав суперпользователя, в том числе эксплойты для уязвимостей, использовавшихся Hacking Team.
Остальные загруженные вредоносные файлы детектируются продуктами «Лаборатории Касперского» как:
- HEUR:Backdoor.AndroidOS.Ztorg.c,
- HEUR:Trojan.AndroidOS.Muetan.b,
- HEUR:Trojan.AndroidOS.Ztorg.ad,
- HEUR:Backdoor.AndroidOS.Ztorg.h,
- HEUR:Backdoor.AndroidOS.Ztorg.j,
- HEUR:Trojan-Dropper.AndroidOS.Agent.cv,
- HEUR:Trojan.AndroidOS.Hiddad.c.
С помощью полученных прав суперпользователя троянец устанавливает свои модули в системные папки, а также получает возможность незаметно от пользователя устанавливать и удалять сторонние программы.
Это далеко не первое появление данного зловреда в официальном магазине приложений Google Play. Начиная с середины декабря 2015 года, мы обнаруживали этого троянца под видом девяти различных приложений, ни одно из которых более не доступно в Google Play. Согласно статистике Google Play в большинстве случаев эти приложения имели около 10 000 установок, лишь одно – «Digital Clock» — загрузили более 100 000 раз.
MD5
8CB3A269E50CA1F9E958F685AE4A073C
0235CE101595DD0C594D0117BB64C8C3
Покемон с root-привилегиями