Специалисты «Доктор Веб» сообщили о выявлении очередного мобильного вируса, который демонстрирует пользователям рекламные блоки, через которые распространяются другие вредоносные утилиты. Троянская программа отличается тем, что демонстрируемые уведомления имитируют поступление очередного электронного письма или SMS, что повышает шанс перехода по опасной ссылке.
Изученная программа, названная Android.DownLoader.157.origin, обычно распространяется через крупные порталы, посвященные мобильному контенту. В описании к опасному приложению сообщается, что инструмент призван помочь пользователю, демонстрируя определенную информацию и входящем вызове (страна, регион абонента, оператор и т.п.). Приложение действительно обладает указанным функционалом, однако позднее в информационной панели начинают отображаться оповещения, имитирующие системные (входящее сообщение).
Если доверчивый обладатель устройства нажимает на такое сообщение, с внешнего сервера загружается apk-файл. Далее на дисплей атакованного устройства выводится новое уведомление, активация которого приводит к инсталляции загруженной программы. Детальный анализ показал, что среди загружаемых файлов присутствуют различные типы вирусов – бэкдоры, троянцы-загрузчики и другие.
Любопытно, что специалисты изучали аналогичную вредоносную программу еще в 2012 году. Тогда вирус также имитировал входящие сообщения, стараясь заставить пользователя скачать другие опасные программы. Это указывает, что данная изощренная схема обмана обладателей мобильных устройств еще востребована у вирусописателей.
Запись для выявления Android.DownLoader.157.origin занесена в антивирусные базы, поэтому пользователи антивирусов защищены от данного вируса.