Разведчик хитрого раджи

Скромный троянец в Google Play Store

Недавно мы обнаружили троянца-шпиона, маскирующегося под Android-клиент для сервиса онлайн общения и знакомств Desi Chat. Зловреды нередко маскируются под известные сервисы или приложения для обмана пользователей, но рассматриваемый образец привлек наше внимание тем, что распространялся через официальный магазин приложений Google – Google Play Store.
Продукты «Лаборатории Касперского» детектируют этот зловред как Trojan-Spy.AndroidOS.DesiSpy.a.

Схема распространения

Особенность сервиса Desi Chat заключается в его ориентации на жителей Южной Азии: Desi – это термин, произошедший от слова на древнем санскрите देश (deśá or deshi), что значит «страна», и применяемый для обозначения народностей, обитающих на Индийском субконтиненте (Пакистан, Индия, Бангладеш, части Непала, Бутана, Шри-Ланки и других стран). Очевидно, что целью этого троянца являются пользователи сервиса, причисляющие себя к этим народностям.

Хотя в сети существует немало веб-клиентов для сервиса Desi Chat (freedesichat.com, desichat.org, allindiachat.com, desipowerchat.com и др.), в официальном магазине приложений для Android данный сервис представлен слабо. Фактически, единственное приложение, в названии которого фигурирует словосочетание «Desi Chat», является рассматриваемым в этой статье зловредом, остальные приложения либо нерелевантны поисковому запросу, либо обладают недостаточно очевидным названием. Таким образом, уже на стадии поиска мобильного клиента для Desi Chat, внимание пользователя привлекается к троянцу DesiSpy.

buchka_desi_01

Зловред в Google Play

После перехода на страницу приложения мы видим его описание, скриншоты и отзывы, в большинстве своем негативные. Внимательного пользователя отпугнут низкая оценка, негативные отзывы и малое количество установок. Но какая-то часть пользователей все же установит троянца, поскольку не все читают отзывы, но почти все доверяют официальному магазину приложений.

buchka_desi_02

Процесс работы

После установки и запуска приложение запрашивает права администратора устройства, для того чтобы усложнить свое удаление. Впрочем, пользователь может отказаться давать DesiSpy расширенные права, настаивать зловред не будет. Независимо от решения жертвы, далее троянец запускает сервис, периодически получающий данные о текущем местоположении пользователя (с помощью GPS-модуля) и IMEI устройства, а затем отправляющий эту информацию на сервер злоумышленникам. Если на устройстве не включен сервис геолокации, то раз в 15 секунд DesiSpy показывает пользователю уведомление с текстом «Please Enable GPS to detect Your Country».

buchka_desi_03

Также в статус-баре создается уведомление с аналогичным текстом, позволяющее пользователю быстро перейти на экран включения требуемого зловреду сервиса.

На этом работа троянца заканчивается. DesiSpy скрывает свою иконку из списка приложений, т.к. она ему больше не требуется – в манифесте приложения присутствует обработчик события перезагрузки устройства, позволяющий зловреду запускаться при каждом включении устройства. Никаких попыток даже имитировать функциональность сервиса для общения не предпринимается, все что связывает троянца с Desi Chat – это название.

buchka_desi_04

Код отвечающий за реализацию вышеописанной функциональности выглядит следующим образом:

buchka_desi_05
buchka_desi_06

Заключение

Несмотря на относительную простоту рассмотренного зловреда, он является серьезной угрозой для пользователей мобильных устройств, так как использует инфраструктуру официального магазина приложений для своего распространения. На данный момент возможности DesiSpy невелики, но вместе с очередным обновлением злоумышленники могут без труда добавить в приложение более опасную функциональность, которая может нанести более существенный ущерб.

Мы уже связались с Google и сообщили им о факте наличия DesiSpy в официальном магазине приложений.

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *