Android.Counterclank — новый «троян» в Android Market

Антивирусная компания Symantec предупреждает об обнаружении вредоносной программы Android.Counterclank в 13-ти популярных дистрибутивах из каталога Android Market.

Android.Counterclank является незначительной модификацией ранее известного трояна Android.Tonclank, который работает модифицирует стартовую страницу браузера и показывает рекламу через пуш-уведомления.

Исходя из совокупного объёма скачиваний всех этих дистрибутивов (от 1 до 5 млн раз), инфекцию Android.Counterclank можно считать крупнейшей в истории платформы Android — сообщает Symantec.

Разработчик	Название	Категория
iApps7 Inc	Counter Elite Force	Аркады и экшн
iApps7 Inc	Counter Strike Ground Force	Аркады и экшн
iApps7 Inc	CounterStrike Hit Enemy	Аркады и экшн
iApps7 Inc	Heart Live Wallpaper	Развлечения
iApps7 Inc	Hit Counter Terrorist	Аркады и экшн
iApps7 Inc	Stripper Touch girl	Развлечения
Ogre Games	Balloon Game	Спортивные игры
Ogre Games	Deal & Be Millionaire	Спортивные игры
Ogre Games	Wild Man	Аркады и экшн
redmicapps	Pretty women lingerie puzzle	Фотография
redmicapps	Sexy Girls Photo Game	Стиль жизни
redmicapps	Sexy Girls Puzzle	Головоломки
redmicapps	Sexy Women Puzzle	Головоломки

В состав всех перечисленных программ входит пакет apperhand, где и содержится вредоносный код. При его исполнении в списке сервисов на мобильном устройстве появляется одноимённый сервис. Ещё один признак заражения — появление иконки Search на экране (её внешний вид показан на скриншоте внизу).


Троян получил от Symantec «очень низкий» рейтинг уровня опасности. Для установки вредоносного ПО пользователь должен дать программе большое количество неочевидных разрешений (в том числе запуск вместе с загрузкой телефона, разрешение на установку ярлыков и проверку текущего состояния устройства), что сразу вызовет подозрение у любого пользователя. Вот список всех требуемых разрешений:

• Приложение сможет проверять состояние всех сетей.
  
• Приложение сможет просматривать сведения о состоянии Wi-Fi-подключения.
  
• Приложение получит доступ к данным GPS и других систем геопозиционирования.
  
• Приложение сможет установить и удалить ярлыки.
  
• Приложение сможет считывать настройки системы.
  
• Приложение сможет получить список аккаунтов на устройстве.
  
• Приложение сможет проверять состояние устройства.
  
• Приложение сможет управлять виброзвонком.
  
• Приложение сможет открыть сетевые соединения.
  
• Приложение сможет запрещать переход устройства в спящий режим.
  
• Приложение сможет изменять историю и закладки браузера.
  
• Приложение сможет считывать все URL, посещенные браузером, и все его закладки.
  
• Приложение сможет перезапускаться после загрузки системы.
  

Специалисты скептически отнеслись к заявлению Symantec о «самой большой инфекции» и обращают внимание, что конкурирующие антивирусные фирмы не считают apperhand вредоносным ПО, а всего лишь частью агрессивной, но легальной, рекламной платформы. Это модифицированная версия рекламной сети ChoopCheec (Plankton SDK), которая ещё в июне 2011 вызвала широкие дискуссии по поводу того, считать её трояном или нет, учитывая крайне скрытное и агрессивное поведение.

В отличие от настоящих вредоносов, этот SDK хэширует IMEI-номер устройства при отправке на сервер, то есть пытается хоть как-то защитить приватность пользователя. Кроме того, рекламу через пуш-уведомления нельзя считать по-настоящему вредоносным поведением. Самое неприятное его действие — замена стартовой страницы браузера и добавление своих закладок, но это тоже с трудом тянет на действительно вредительскую деятельность.

Можно предположить, что громкие заголовки вроде «Вирус заразил 5 миллионов Android-телефонов» выгодны конкурентам Android.

Некоторые из приложений, зараженных вирусописателями, до сих пор остаются доступными для скачивания.