Из Android Market удалено 56 приложений с троянским кодом

2 марта 2011 года

Компания Google удалила из официального каталога приложений Android Market 56 приложений, инфицированных вредоносным ПО DroidDream. Программы находились в каталоге несколько дней, что привело, по приблизительным подсчетам, к заражению от 50 до 200 тысяч телефонов. Кроме удаления зараженных трояном программ из каталога, компания Google активировала функцию принудительного удаления данных программ с телефонов пользователей, которые в ближайшее время получат на своем аппарате соответствующее предупреждение.

• Содержащие троянский код программы охватывают достаточно широкий спектр областей: от систем для создания рингтонов, графических редакторов и приложений для настройки гитары, до научных калькуляторов, файловых менеджеров и приложений для управления запущенными задачами. Все эти программы являются переименованными вариантами пользующихся популярностью приложений. Объединяет все вредоносные программы их размещение под тремя пользовательскими аккаунтами "Kingmall2010", "we20090202" и "Myournet". Не исключено, что в ближайшие часы будут выявлены новые вредоносные программы, так как разбирательство и проверка архива еще не завершены (утром сообщалось о 21 приложении, а сейчас их число возросло до 56).

DroidDream является типовым инструментарием для внедрения троянского ПО в программы. После установки на телефон программы, в которую интегрирован код DroidDream, данная программа может выполнять такие функции, как отправка злоумышленникам личных данных и параметров аккаунта пользователя. В коде DroidDream имеется реализация эксплоита, направленного на взлом изолированного окружения Android, организации полного контроля над ресурсами телефона и получения root-прав. Кроме того, DroidDream поддерживает режим приема управляющих команд и загрузку дополнительного кода с удаленного сервера, что не исключает в будущем возможность создания управляемых ботнетов из пораженных троянским ПО телефонов.

Тем временем, в блоге компании Symantec описан троян под именем Android.Pjapps, который, судя по всему, аналогичен DroidDream. Android.Pjapps прикрепляется к легитимным программам и обеспечивает функционирование скрытого бэкдора, поддерживающего взаимодействие с управляющими серверами C&C (Command and Control), используемыми для организации работы ботнетов. Для приема команд Android.Pjapps периодически обращается к внешним C&C-серверам. Среди поддерживаемых команд называются: установка приложения, открытие заданного сайта (проведение DDoS-атак), управление закладками в браузере (фишинг), отправка SMS (рассылка SMS-спама), скрытие определенных входящих SMS. Работа трояна осуществляется в фоне и полностью скрыта от пользователя.

Дополнение: Компания Google официально отреагировала на появление вредоносного ПО в Android Market.