Недавно специалисты компании "Доктор Веб" обнаружили утилиту, способную помимо основного функционала выполнять и нежелательные для пользователей действия, такие как рассылка SMS-сообщений, а также загрузка и установка других приложений. Примечательно, что число скачавших ее пользователей превысило 1 000 000: это можно считать одним из крупнейших подобных инцидентов за последнее время. Привлекшая внимание специалистов компании "Доктор Веб" программа является представителем распространенного класса так называемых утилит-оптимизаторов. В частности, данная утилита позволяет управлять приложениями (осуществлять их установку, удаление и создание резервных копий), выполнять "очистку памяти", а также контролировать интернет-трафик.
Однако помимо этих функций программа способна выполнять и ряд скрытых от пользователя действий, например, неавторизованную загрузку приложений и отправку SMS-сообщений на премиум-номера. Для этих целей утилита использует несколько подозрительных сервисов, которые активизируются после ее запуска. Так, один из них служит для связи с удаленным сервером, на который передается информация об устройстве (IMEI- и IMSI-идентификатор) и с которого поступают управляющие команды, такие как:
- создание списка приложений для загрузки
- параметры для отправки SMS-сообщений (текст и номер получателя)
- создание списка для перехвата определенных входящих сообщений (содержит номер отправителя и текст SMS)
Другой сервис непосредственно задействован в установке приложений. В соответствии с созданным ранее списком apk-файлов он осуществляет их загрузку и попытку незаметной установки с применением команды pm install, которая доступна для выполнения на устройствах с root-доступом. Если же необходимые системные привилегии отсутствуют, установка будет выполнена в стандартном режиме, требующем подтверждения владельца мобильного устройства. Несмотря на то, что возможность незаметной инсталляции программ может применяться в легитимных целях, например, при переносе приложений с одного пользовательского мобильного устройства на другое, эта функция также может быть использована и для установки различного ПО без разрешения пользователя. Что же касается автоматической отправки SMS-сообщений, то эта функция задействуется напрямую по команде с управляющего сервера и никак не контролируется пользователем. В связи с наличием подобных опасных возможностей вирусными аналитиками компании "Доктор Веб" было принято решение классифицировать данную утилиту как вредоносную и внести ее в вирусную базу под именем Android.Backdoor.81.origin.
На момент обнаружения этой программы в каталоге Google Play число ее загрузок превысило 1 000 000, при этом, многие пользователи уже успели столкнуться с проблемой неавторизованной отправки SMS-сообщений на премиум-номера. По состоянию на 26 мая программа была все еще доступна для загрузки из каталога приложений.