Специалисты из Symantec на днях обнаружили в официальном каталоге Google Play вредоносное ПО, идентифицируемое как Android.Dropdialer. Там оно распространялось под узнаваемыми названиями «Super Mario Bros.» и «GTA 3 Moscow City», а опубликованы в магазине приложений оба пакета 24 июня этого года.
Единственной целью Android.Dropdialer является разорение мобильного счета владельца смартфона методом отправки SMS-сообщений на платные номера. Как выяснили в Symantec, отправка производилась в Восточную Европу. Такого рода угроза совершенно не нова, но в данном случае важен факт ее довольно длительной «жизни» в Google Play, в течение которой фальшивые пакеты были загружены от 50 тыс. до 100 тыс. раз.
Специалисты Symantec подозревают, что такой эффект был достигнут за счет удаленного загрузчика, используемого в троянской программе. Эта техника уже применялась ранее: автор вредоносного приложения разбивает его на несколько отдельных загружаемых по очереди частей, чтобы избежать детектирования аномалий по время автоматического процесса проверки приложений (QA).
В случае с Android.Dropdialer, первая часть ПО была размещена на Google Play. После установки она загружает дополнительный пакет, размещенный на Dropbox: «Activator.apk». Именно он и занимался рассылкой SMS на платные номера.
В Symantec отметили весьма быструю реакцию группы Android Security, удалившую приложения сразу после уведомления специалистов.