Москва, 23 сентября 2015 г. Специалисты ESET раскрыли очередную кибератаку на пользователей Android. Злоумышленники маскируют вредоносную программу Android/Mapin под дополнение к популярным играм в официальном магазине приложений Google Play.

Троян распространяется через Google Play и несколько других магазинов приложений вместе с играми «Растения против зомби», «Растения против зомби-2», Subway Suffers, Traffic Racer, Temple Run 2 Zombies, Super Hero Adventure, Candy Crush, Jewel Crush, Racing Rivals и др. Первые загрузки Android/Mapin на Google Play датированы 24-30 ноября 2013 и 22 ноября 2014 года.

По данным системы телеметрии ESET, вместе с игрой на устройство пользователя устанавливается вредоносное дополнение под названием «systemdata» или «resource», скрывающее загрузчик Android/TrojanDropper.Mapin.

Через некоторое время после загрузки игры пользователю предлагается установить обновление «Google Play » или «Manage Settings». Если пользователь отказывается от загрузки, сообщение появится вновь при смене сетевого подключения. Под видом обновления скрывается троян Android/Mapin, позволяющий злоумышленникам получить доступ к устройству жертвы и сделать его частью ботнета.

Android/Mapin поддерживает функцию таймера, затрудняющую его обнаружение. Данный модуль задерживает исполнение программы, поэтому жертвы не сразу заподозрят игру из легального магазина Google Play.

Полнофункциональный Android/Mapin запрашивает права администратора устройства и обращается к удаленному серверу. Его основная задача – отображение рекламных объявлений на зараженном устройстве, а также кража персональных данных пользователя, установка и запуск приложений.

«Некоторые версии Android/Mapin достигают полноценного функционала трояна не менее чем через три дня. Вероятно, это одна из причин, по которой загрузчик Android/TrojanDropper.Mapin не был замечен системой проверки новых приложений Google Bouncer, – комментирует Лукас Стефанко, вирусный аналитик ESET – В настоящее время функционал трояна не реализован в полной мере. Существует вероятность того, что угроза находится в стадии разработки и в перспективе будет усовершенствована».