UZCERT

Эти вредоносные программы вымогают деньги под угрозой распространения персональной информации пользователя-жертвы. Так, жертва получает сообщение о том, что злоумышленники получили в свое распоряжение несанкционированный бэкап всех данных с устройства и они могут оказаться в свободном доступе, если не будет заплачен «скромный выкуп».

Необходимо отметить, что соответствующее извещение в адрес администрации «Google» осуществлено, в ответ сотрудники компании сказали, что они расследуют эти случаи.


Так, количество скачиваний приложения WALLPAPERS BLUR HD зафиксировано между 5 000 – 10 000 скачиваний. Последнее обновление приложения было произведено 7 апреля текущего года. При обзоре отзывов обнаружена жалоба пользователя, почему приложение для оформления экрана (wallpaper app) требует доступ к функциям (звонки, чтение и отправка сообщений, доступ к контактам и т.д.), не имеющих отношения к функционалу приложения.



Другое приложение BOOSTER & CLEANER PRO последний раз обновлялось совсем недавно, 28 июня. Количество его скачиваний колеблется между 1 000 – 5 000 раз. Его рейтинг при этом составляет 4,5, что выше рейтинга «Wallpapers Blur HD», но это явно не показатель безопасности приложения, поскольку большинство положительных отзывов о нем – фейковые.



Оба трояна «предлагают» вполне нормальный функционал, но хранят в себе скрытый вредоносный код. Давайте подробнее изучим приложение «Booster & Cleaner Pro», чтобы понять, что же делает вредоносный код в этих приложениях.

При первом запуске программы, вредонос демонстрирует обычный экран программы для ускорения Android-устройств. При этом, в силу характера таких приложений, пользователь готов предоставить разрешить этому приложению запрашиваемый доступ.

После полной загрузки, процесс com.robocleansoft.boostvsclean.receivers.BoorReceiver внутри вредоносного приложения запускает задачу AlarmManager, внутри которой сидит другой процесс, а именно com.robocleansoft.boostvsclean.AdActivity, который блокирует экран устройства.

После блокировки экрана вредонос получает доступ к персональной информации пользователя, в том числе благодаря тому, что сам пользователь предоставил необходимый доступ приложению во время его установки. Вредонос не эксплуатирует какую-либо уязвимость, но может загрузить .dex-код с управляющего сервера, что указывает на непредсказуемость его поведения. Также, он может по команде с того же управляющего сервера деактивироваться, что существенно усложнит его обнаружение соответствующими антивирусными программами.

Не все данные, к которым получил доступ вредонос, находятся под угрозой утечки. Вредонос может читать email-адреса жертвы, некоторые контакты, историю браузера Chrome, часть сообщений и звонков, захватывать изображения в момент использования камеры устройства, а также имеет доступ к информации об устройстве. Фактов дальнейшей передачи информации после несанкционированного доступа на управляющий сервер не выявлено, но такая вероятность высока, т.к. большинство операций вредоноса выполняется удаленно по командам с сервера, и полностью изучить его функционал пока не удалось. После блокировки устройства пользователь видит баннер с требованием оплатить выкуп.

На настоящий момент оба приложения удалены из сервиса Google Play, однако продолжают оставаться доступными на сторонних сервисах. Так, приложение «Wallpapers Blur HD» от разработчика «ostashkinpp» можно скачать на веб-сайте «www.apkplz.com», приложение «Booster & Cleaner Pro» от разработчика «Dmitrij Shestopalov» доступно на «www.1mobile.com». Оба ресурса представлены как площадки по предоставлению бесплатного софта для устройств на Android.

.