DroidDream ― второе пришествие

В последние выходные мая в фирменном магазине Android Market были обнаружены десятки копий легитимных программ с добавленным троянским функционалом. Зловред был опознан как облегченная версия печально известного DroidDream (в классификации ЛК Backdoor.AndroidOS.Rooter ).

Как и его предшественники, DroidDream Light крадет и отправляет на удаленный сервер данные о зараженном устройстве: модель, язык, страну, международные идентификаторы, версию SDK, список установленных приложений. URL, которые вызывает зловред, содержатся в зашифрованном виде в конфигурационном файле prefer.dat и, по свидетельству экспертов, в настоящее время недоступны.

Активация DroidDream Light происходит автоматически с изменением состояния активности смартфона ― например, при получении входящего вызова или SMS. В этот момент присутствие вредоносной программы можно обнаружить по запуску службы CoreService, которая обеспечивает подключение к удаленному серверу злоумышленников. По словам экспертов, новый вариант DroidDream также способен загружать дополнительные компоненты и приложения с конкретных страниц Android Market.

На настоящий момент Google изъяла из обращения 34 перепакованных приложения, снабженных довеском в виде DroidDream Light. На Android Market их представляли 6 разных разработчиков. Число жертв новой напасти, по некоторым оценкам, составляет от 30 до 120 тыс. пользователей. К расследованию данного инцидента подключены специалисты из AVG Technologies. Их оценка масштабов распространения инфекции гораздо скромнее ― 15 тысяч.

Весьма вероятно, что Google вновь развернет кампанию по дистанционной очистке зараженных устройств. Однако, как уже было замечено, такой шаг ― не решение проблемы. Пользовательские устройства по-прежнему уязвимы, а перспективы реорганизации Android Market все так же туманны.