Демонстрация рекламы в мобильных приложениях для многих разработчиков уже давно стала одним их главных источников заработка.
Однако такой способ получения прибыли все чаще берут на вооружение не только добропорядочные производители ПО, но и киберпреступники, создающие для этого всевозможные вредоносные программы. Одной из них стал обнаруженный специалистами компании «Доктор Веб» троянец Android.Spy.510, который устанавливает на Android-смартфоны и планшеты нежелательный программный модуль, показывающий рекламу поверх большинства запускаемых приложений.
Android.Spy.510 распространяется в модифицированном вирусописателями изначально безобидном мультимедийном проигрывателе, который злоумышленники назвали «AnonyPlayer». Троянская версия плеера обладает всеми функциями оригинала и полностью работоспособна, поэтому у потенциальных жертв не должно возникнуть никаких подозрений относительно его возможной опасности.
После установки и запуска Android.Spy.510 собирает и передает на управляющий сервер ряд конфиденциальных данных, включая логин пользователя от учетной записи Google Play, информацию о модели зараженного смартфона или планшета, версии SDK операционной системы, а также о наличии в ней root-доступа. Затем троянец пытается инсталлировать скрытый в его ресурсах дополнительный программный пакет, который содержит основной вредоносный функционал, необходимый злоумышленникам. Для этого Android.Spy.510 демонстрирует специальное сообщение, в котором говорится о необходимости установить приложение AnonyService, якобы обеспечивающее анонимность пользователей и предотвращающее получение конфиденциальной информации третьими лицами. В действительности же данная программа не предоставляет подобного функционала и является рекламным модулем, внесенным в вирусную базу Dr.Web как Adware.AnonyPlayer.1.origin.
Сразу после запуска Adware.AnonyPlayer.1.origin запрашивает у владельца мобильного устройства доступ к специальным возможностям операционной системы (Accessibility Service), после чего переходит в режим ожидания и начинает нежелательную деятельность лишь спустя несколько суток с момента своей инсталляции. Это сделано с целью уменьшения вероятности обнаружения пользователем источника нежелательной активности на зараженном устройстве.
По прошествии заданного времени Adware.AnonyPlayer.1.origin благодаря имеющимся в его распоряжении функциям Accessibility Service начинает отслеживать все происходящие в системе события и ожидает момента, когда жертва запустит какое-либо приложение. Как только это происходит, модуль немедленно приступает к выполнению своей главной задачи – показу рекламы.