| 0 |
|
Специалисты из «Лаборатории Касперского» исследовали популярное приложение CamScanner – Phone PDF creator, которое по данным Google Play было установлено более 100 млн раз. Разработчики позиционируют его как решение для сканирования и управления оцифрованными документами, но отрицательные отзывы от пользователей, оставленные за последний месяц, свидетельствовали о наличии нежелательных функций.
Анализ выявил в приложении рекламную библиотеку, содержащую вредоносный компонент – троянец-дроппер. Ранее аналогичный модуль часто встречался в предустановленном вредоносном ПО в смартфонах китайского производства. Можно предположить, что причиной его появления стало партнерство разработчиков приложения с недобросовестным рекламодателем.
После сообщения представителям Google приложение было оперативно удалено из Google Play.
В ходе работы приложения дроппер расшифровывает и выполняет вредоносный код, содержащийся в файле mutter.zip в ресурсах приложения. Далее расшифровывается конфигурационный файл с названием comparison, который содержит, в том числе, адреса серверов злоумышленников. Оттуда роппер скачивает дополнительный модуль и затем выполняется его код.
Вышеописанные функции Trojan-Dropper.AndroidOS.Necro.n выполняют основную задачу зловреда: скачивают и запускают полезную нагрузку с серверов злоумышленников. В результате зараженное устройство получает возможность приносить выгоду владельцам модуля любым подходящим для них способом, от показа жертве навязчивой рекламы до кражи денег с ее мобильного счета посредством оформления платных подписок.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
