Российская компания Doctor Web, специализирующаяся на решениях безопасности, обнаружила в Google Play Store более 100 приложений, инфицированных троянской программой Android.Spy.277.origin. К началу апреля они были загружены более 3,2 млн. раз. Пострадавшие приложения - самые разные, это программы для создания анимированных фоновых изображений на экране, обработки изображений, обмена сообщениями, видеоплееры и игры. Android.Spy.277.origin имитирует внешний вид и название приложения, таким образом, это серьёзное ПО. С полным списком 104 инфицированных программ можно ознакомиться на сайте DrWeb.
После загрузки такое приложение работает не обычным образом, а собирает разнообразные личные данные и техническую информацию, например, электронные адреса на устройстве с учётной записью Google, номер IMEI, версию ОС устройства, а также телефонный номер и местоположение пользователя. Всякий раз, когда приложение открыто, вредоносная программа отправляет эти данные и информацию об используемом ПО на сервер хакера. Последний также отправляет на устройства информацию, например, ссылки на вредоносные сайты в браузере, которые маскируются под уведомления от приложений Facebook или Google Play Store.
У пользователя складывается впечатление, что с устройством что-то не так, и устранить проблему можно, переустановив приложение. К примеру, он может получать замаскированную рекламу в виде уведомлений о неполадках или перегреве батареи. Кроме того, троян пытается установить замаскированный плагин, обладающий теми же функциями, что и сам троян. Если пользователь удалит вредоносное приложение, вторая версия Android.Spy.277.origin останется в устройстве.
Google уже поставлена в известность о случившемся и уже удалила ряд повреждённых программ из Play Store.