Разведчик хитрого раджи

Недавно мы обнаружили троянца-шпиона, маскирующегося под Android-клиент для сервиса онлайн общения и знакомств Desi Chat. Зловреды нередко маскируются под известные сервисы или приложения для обмана пользователей, но рассматриваемый образец привлек наше внимание тем, что распространялся через официальный магазин приложений Google – Google Play Store.
Продукты «Лаборатории Касперского» детектируют этот зловред как Trojan-Spy.AndroidOS.DesiSpy.a.

Схема распространения

Особенность сервиса Desi Chat заключается в его ориентации на жителей Южной Азии: Desi – это термин, произошедший от слова на древнем санскрите देश (deśá or deshi), что значит «страна», и применяемый для обозначения народностей, обитающих на Индийском субконтиненте (Пакистан, Индия, Бангладеш, части Непала, Бутана, Шри-Ланки и других стран). Очевидно, что целью этого троянца являются пользователи сервиса, причисляющие себя к этим народностям.

Хотя в сети существует немало веб-клиентов для сервиса Desi Chat (freedesichat.com, desichat.org, allindiachat.com, desipowerchat.com и др.), в официальном магазине приложений для Android данный сервис представлен слабо. Фактически, единственное приложение, в названии которого фигурирует словосочетание «Desi Chat», является рассматриваемым в этой статье зловредом, остальные приложения либо нерелевантны поисковому запросу, либо обладают недостаточно очевидным названием. Таким образом, уже на стадии поиска мобильного клиента для Desi Chat, внимание пользователя привлекается к троянцу DesiSpy.

Зловред в Google Play

После перехода на страницу приложения мы видим его описание, скриншоты и отзывы, в большинстве своем негативные. Внимательного пользователя отпугнут низкая оценка, негативные отзывы и малое количество установок. Но какая-то часть пользователей все же установит троянца, поскольку не все читают отзывы, но почти все доверяют официальному магазину приложений.

Процесс работы

После установки и запуска приложение запрашивает права администратора устройства, для того чтобы усложнить свое удаление. Впрочем, пользователь может отказаться давать DesiSpy расширенные права, настаивать зловред не будет. Независимо от решения жертвы, далее троянец запускает сервис, периодически получающий данные о текущем местоположении пользователя (с помощью GPS-модуля) и IMEI устройства, а затем отправляющий эту информацию на сервер злоумышленникам. Если на устройстве не включен сервис геолокации, то раз в 15 секунд DesiSpy показывает пользователю уведомление с текстом «Please Enable GPS to detect Your Country».

Также в статус-баре создается уведомление с аналогичным текстом, позволяющее пользователю быстро перейти на экран включения требуемого зловреду сервиса.

На этом работа троянца заканчивается. DesiSpy скрывает свою иконку из списка приложений, т.к. она ему больше не требуется – в манифесте приложения присутствует обработчик события перезагрузки устройства, позволяющий зловреду запускаться при каждом включении устройства. Никаких попыток даже имитировать функциональность сервиса для общения не предпринимается, все что связывает троянца с Desi Chat – это название.

Код отвечающий за реализацию вышеописанной функциональности выглядит следующим образом:

Заключение

Несмотря на относительную простоту рассмотренного зловреда, он является серьезной угрозой для пользователей мобильных устройств, так как использует инфраструктуру официального магазина приложений для своего распространения. На данный момент возможности DesiSpy невелики, но вместе с очередным обновлением злоумышленники могут без труда добавить в приложение более опасную функциональность, которая может нанести более существенный ущерб.

Мы уже связались с Google и сообщили им о факте наличия DesiSpy в официальном магазине приложений.