- SHA1: 1f265dfaecb2584f576386b9d8834904021c0c40
Описание
Троян, работающий на устройствах под управлением ОС Android. Его основная функция — кража содержимого уведомлений от других приложений. Кроме того, он загружает и предлагает пользователям установить другие программы, а также может демонстрировать различные диалоговые окна.
Известные версии Android.Spy.4837 встроены в некоторые неофициальные модификации (моды) мессенджера WhatsApp, такие как GBWhatsApp, OBWhatsApp, WhatsApp Plus и другие, которые злоумышленники распространяют через вредоносные сайты.
Принцип действия
В процессе работы Android.Spy.4837 запрашивает доступ к управлению уведомлениями и чтению их содержимого. Рассматриваемая версия трояна нацелена на уведомления от следующих приложений:
- com.sec.android.app.samsungapps — Samsung Galaxy Store (Galaxy Apps);
- com.android.vending — Google Play Store.
Дополнительно троян способен вести удаленное логирование содержимого уведомлений от приложений из заданного списка с использованием различных сервисов статистики — например, Flurry (используемый сервис зависит от модификации вредоносного приложения). Однако в известных версиях Android.Spy.4837 такой список отсутствует.
Помимо этого, во время использования приложения троян скрытно скачивает apk-файл по полученной от злоумышленников ссылке, а затем предлагает установить его под видом новой версии приложения, для чего демонстрирует соответствующее диалоговое окно. При этом во время своего запуска Android.Spy.4837 демонстрирует другой диалог обновления, в котором отображается прогресс загрузки apk-файла.
Кроме того, троян может демонстрировать произвольные диалоговые окна, содержимое которых он также получает от злоумышленников. Когда пользователь нажимает на кнопку «Ок» такого диалога, в браузере происходит загрузка целевого сайта.
Демонстрация запроса доступа к уведомлениям и диалоговых окон с настраиваемым содержимым, а также загрузка apk-файла выполняются из модифицированной активности com.whatsapp.HomeActivity оригинального приложения WhatsApp.
