Компания «Доктор Веб» выявила в Google Play новый троянец-бэкдор, который выполняет команды злоумышленников, позволяет им дистанционно управлять инфицированными Android-устройствами и шпионить за пользователями.
Вредоносная программа получила имя Android.Backdoor.736.origin. Она распространяется под видом приложения OpenGL Plugin для проверки версии графического интерфейса OpenGL ES и загрузки его обновлений.
При запуске Android.Backdoor.736.origin запрашивает доступ к нескольким важным системным разрешениям, которые позволят ему собирать конфиденциальную информацию и работать с файловой системой. Кроме того, он пытается получить допуск к показу экранных форм поверх интерфейса других программ.
В окне вредоносного приложения имеется кнопка для «проверки» обновлений графического программного интерфейса OpenGL ES. После ее нажатия троянец имитирует процесс поиска новых версий OpenGL ES, однако на самом деле никаких проверок он не выполняет и лишь вводит пользователя в заблуждение.
После того как жертва закрывает окно приложения, Android.Backdoor.736.origin убирает свой значок из списка программ меню главного экрана и создает ярлык для своего запуска. Это делается для того, чтобы в дальнейшем пользователю было сложнее удалить троянца, поскольку удаление ярлыка не затронет саму вредоносную программу.
Android.Backdoor.736.origin постоянно активен в фоновом режиме и может запускаться не только через значок или ярлык, но также автоматически при старте системы и по команде злоумышленников через Firebase Cloud Messaging. Основной вредоносный функционал троянца расположен во вспомогательном файле, который зашифрован и хранится в каталоге с ресурсами программы. Он расшифровывается и загружается в память при каждом старте Android.Backdoor.736.origin.
Бэкдор поддерживает связь с несколькими управляющими серверами, откуда получает команды злоумышленников и куда отправляет собранные данные. Кроме того, киберпреступники могут управлять троянцем через сервис Firebase Cloud Messaging. Android.Backdoor.736.origin способен выполнять следующие действия:
передать на сервер информацию о контактах из телефонной книги;
передать на сервер информацию об СМС-сообщениях (в исследованной версии троянца для этого нет необходимых разрешений);
передать на сервер информацию о телефонных вызовах;
передать на сервер информацию о местоположении устройства;
загрузить и запустить apk- или dex-файл с использованием класса DexClassLoader;
передать на сервер сведения об установленных программах;
скачать и запустить исполняемый файл;
загрузить файл с сервера;
отправить заданный файл на сервер;
передать на сервер информацию о файлах в заданном каталоге или о файлах на карте памяти;
выполнить shell-команду;
запустить активность, заданную в команде;
загрузить и установить Android-приложение;
показать уведомление, заданное в команде;
запросить заданное в команде разрешение;
передать на сервер список разрешений, предоставленных троянцу;
не позволять устройству переходить в спящий режим в течение заданного времени.
Все передаваемые на сервер данные троянец шифрует алгоритмом AES. Каждый запрос защищается уникальным ключом, который генерируется с учетом текущего времени. Этим же ключом шифруется ответ сервера.
Android.Backdoor.736.origin способен устанавливать приложения сразу несколькими способами:
автоматически, если в системе есть root-доступ (с использованием shell-команды);
при помощи системного менеджера пакетов (только для системного ПО);
показав стандартный системный диалог установки программ, где пользователь должен согласиться на инсталляцию.
Таким образом, этот бэкдор представляет серьезную опасность. Он не только занимается кибершпионажем, но также может использоваться для фишинга, т. к. способен показывать окна и уведомления с любым содержимым. Кроме того, он может загружать и устанавливать любые другие вредоносные приложения, а также выполнять произвольный код. Например, по команде злоумышленников Android.Backdoor.736.origin может скачать и запустить эксплойт для получения root-полномочий, поле чего ему уже не потребуется участие пользователя для инсталляции других программ.
Компания «Доктор Веб» уведомила корпорацию Google о троянце, и на момент публикации этого материала он уже был удален из Google Play.
Android.Backdoor.736.origin и его компоненты надежно детектируются и удаляются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей он опасности не представляет.
Главные события дня Воскресенье, 4 января
Последние новости
- Связь | Позавчера, 18:45
Украинцам в ЕС можно пользоваться мобильной связью и интернетом без доплат - Бизнес | Позавчера, 18:15
Українці зареєстрували рекордну кількість бізнесів у Польщі за 2025 р - Связь | Позавчера, 17:45
В Финском заливе поврежден один из подводных кабелей связи - Технологии | Позавчера, 17:15
В 2026 году Украина может рассчитывать на весомое усиление Воздушных сил - Бизнес | Позавчера, 16:45
Болгарія офіційно перейшла на євро опівночі 1 січня 2026 року, — ЗМІ - Безопасность | Позавчера, 16:15
Во время новогоднего обращения Си Цзиньпин пригрозил Тайваню - Технологии | Позавчера, 15:45
У польському аеропорту затримали українця з пристроєм для радіоглушіння - Технологии | Позавчера, 15:15
Пентагон неоднократно задерживал поставки боеприпасов Украине — NYT - Бизнес | Позавчера, 14:45
Джордж Клуні та його сім'я отримали французьке громадянство
Последние материалы
- Обзоры | 28 декабря, 18:19
Verbatim GaN 240Вт (32205) – найпотужнішій мобільний адаптер серед тих, що я бачив - Обзоры | 26 декабря, 11:31
Автономний Інтернет під час блекаутів: живлення роутера та ONU - Обзоры | 24 декабря, 12:03
Logitech Wave Keys – твоя особливо ергономічна клавіатура - Обзоры | 17 декабря, 22:06
Kingston Canvas Go! Plus SD – швидкісна карта для фотографів-екстремалів - Аналитика | 16 декабря, 14:41
Гігабітний інтернет - інвестиція у домашній комфорт та майбутнє - Аналитика | 14 декабря, 23:53
Дайджест найцікавішого за тиждень №17: ПУМБ пропонує рішення EcoFlow в оплату частинами - Аналитика | 8 декабря, 8:55
Дайджест найцікавішого за тиждень №17: знижки до 50% на продукцію EcoFlow та ракети Р-60 на БПЛА Shahed - Обзоры | 8 декабря, 0:06
ColorWay CW-PHP01P – дитячий фотоапарат-принтер з МР3 та іграми - Обзоры | 2 декабря, 20:27
Bloody MR710 - одна з кращих ігрових гарнітур до 3000 гривень
Популярные новости
- Связь | Позавчера, 18:45
Украинцам в ЕС можно пользоваться мобильной связью и интернетом без доплат 0.00 - Бизнес | Позавчера, 18:15
Українці зареєстрували рекордну кількість бізнесів у Польщі за 2025 р 0.00 - Связь | Позавчера, 17:45
В Финском заливе поврежден один из подводных кабелей связи 0.00 - Технологии | Позавчера, 17:15
В 2026 году Украина может рассчитывать на весомое усиление Воздушных сил 0.00 - Бизнес | Позавчера, 16:45
Болгарія офіційно перейшла на євро опівночі 1 січня 2026 року, — ЗМІ 0.00 - Безопасность | Позавчера, 16:15
Во время новогоднего обращения Си Цзиньпин пригрозил Тайваню 0.00 - Технологии | Позавчера, 15:45
У польському аеропорту затримали українця з пристроєм для радіоглушіння 0.00 - Технологии | Позавчера, 15:15
Пентагон неоднократно задерживал поставки боеприпасов Украине — NYT 0.00 - Бизнес | Позавчера, 14:45
Джордж Клуні та його сім'я отримали французьке громадянство 0.00