Более миллиона пользователей скачали опасный загрузчик для Android

По статистике Google Play, приложение имеет от 100 000 до 500 000 установок

Несмотря на то, что Google Play является официальным сборником приложений для системы Android, на данном сайте иногда появляются потенциально опасные и вредоносные программы.

Одна из таких программ получила название Android.DownLoader.171.origin. Она была обнаружена специалистами компании «Доктор Веб».

Распространяется Android.DownLoader.171.origin под именем KKBrowser. Согласно статистике загрузок на Google Play приложение имеет от 100 тысяч до 500 тысяч установок, но если к этому числу добавить китайские сборники ПО, в которых также распространяется Android.DownLoader.171.origin, то общее количество скачиваний превысит полтора миллиона.

В каталоге Google Play также имеется и версия этого троянца для пользователей из Индонезии (от 1000 до 5000 загрузок).

По словам специалистов, Android.DownLoader.171.origin имеет функции троянца-загрузчика и рекламного приложения. После установки на инфицированном устройстве данное вредоносное ПО обращается к управляющим серверам и загружает указанные злоумышленниками приложения. В случае наличия на устройстве доступа с привилегиями root приложения устанавливаются автоматически, в противном же случае на экране появится соответствующий запрос.

Троянец также умеет незаметно для пользователя удалять программы. При наличии прав root это происходит автоматически или с использованием запроса соответствующего разрешения у пользователя.

Android.DownLoader.171.origin способен демонстрировать пользователю уведомление в панели нотификаций Android, которые выглядят как сообщение о поступлении электронной почты, однако на самом деле содержимое нотификаций определяет управляющий сервер. Например, при нажатии на такое сообщение может открыться окно браузера и будет осуществлен переход на указанный злоумышленниками сайт.

Кроме того вредоносная программа выполняет проверку на наличие установленных антивирусов китайского производства, собирает и отправляет на сервер злоумышленников различные сведения об инфицированном устройстве (версия операционной системы, язык локализации, наличие административного доступа, модель, значение IMEI и другие).