Вирус называется Skinner. Его нашли специалисты компании Check Point во время изучения одного из приложений, имеющихся в каталоге Google Play Store.
Рекламный модуль оказался встроенным в само приложение, за счет чего ему очень долгое время удавалось оставаться незамеченным. В отличие от других аналогичных способов распространения вредоносного ПО, на этот раз злоумышленники использовали свою собственную заранее разработанную схему, что не только усложняет распознавание вредоноса, но и способствует его быстрому распространению.
Перед тем, как приступить непосредственно к основному своему действию, вредонос осуществляет целый ряд всевозможных проверок, позволяющих проанализировать среду, в которой ему предстоит работать. В первую очередь рекламный зловред проверяет: установлен он на реальном устройстве или же на виртуальной машине. Далее он начинает искать доступные отладчики и аппаратные эмуляторы, которые смогут быть задействованы им для своей деятельности. Ну и наконец Skinner также проверяет, откуда было загружено приложение со встроенным вредоносным кодом.
После осуществления всех этих проверок вредонос начинает собирать данные об устройстве, на которое он попал. Особенно его интересует информация о том, какие приложения используются на Android-гаджете. Это нужно для подбора рекламы и дальнейшей ее демонстрации в разных сервисах. Всю собранную информацию Skinner отправляет на специальный сервер, который подбирает и отправляет соответствующие рекламные сообщения. Вся демонстрируемая реклама делится на 4 категории и зависит от установленных на устройстве приложений. Для браузеров и некоторых утилит предусмотрена своя реклама, которая показывается в зависимости от интересов владельца устройства. Также отдельная реклама предусмотрена для навигационных и коммуникационных сервисов.
По словам экспертов, обнаруживших вредоносный код, ранее им не приходилось сталкиваться с рекламным программным обеспечением, которое вело бы себя подобным образом. Аналогичный механизм действия имеют только некоторые банковские трояны, которые занимаются подделыванием интерфейсов приложений. Например, когда вместо настоящего интерфейса открытого приложения демонстрируется фальшивый. Это, естественно, вводит пользователей в заблуждение и заставляет их выдавать свою личную информацию, не подозревая, что их компьютер или устройство атаковано опасным вирусом.
Эксперты утешили пользователей, сообщив, что такой зловред был обнаружен только лишь в одном приложении, размещенном в официальном интернет-магазине Google Play. Но есть и плохая новость. Это приложение находилось там довольно долгое время — более двух месяцев. За этот период его успели скачать больше 10 000 раз. То есть получается, что все устройства, на которые было установлено соответствующее приложение, оказались зараженными.