Компанія «Доктор Веб» повідомляє про активне поширення троянської програми Android.Spy.510, що встановлює небажаний модуль, що показує рекламу поверх програм, що запускаються. Шкідливий додаток працює на планшетах і смартфонах під управлінням операційної системи Android.
Android.Spy.510 поширюється у складі модифікованої версії мультемедіа-програвача AnonyPlayer. Троянська версія плеєра повністю працездатна і володіє всіма функціями оригінальної програми, тому у користувача не виникає ніяких підозр. Після установки і запуску додаток збирає і передає на керуючий сервер конфіденційні дані, в тому числі інформацію про модель зараженого смартфона або планшета, інформацію про версію SDK, про наявність у ній root-доступу, а також обліковий запис користувача Google Play. Після цього троянець встановлює додатковий програмний пакет, в якому містяться основні функції, необхідні зловмисникам. Користувачеві демонструється повідомлення, в якому пропонується інсталювати додаток AnonyService, що нібито запобігає отриманню третіми особами конфіденційної інформації і забезпечує анонімність. Насправді ця програма є рекламним модулем.
Після запуску Adware.AnonyPlayer.1.origin запитує доступ до спеціальних можливостей операційної системи, а потім переходить у режим очікування. Додаток починає показ реклами тільки через кілька діб після установки. Відзначається, що це зроблено з метою зменшення ймовірності виявлення користувачем джерела небажаної активності. Програма починає відстежувати всі події, що відбуваються в системі, і очікує, коли власник смартфона або планшета запустить будь-який додаток, після чого починає показ реклами. Спочатку Adware.AnonyPlayer.1.origin перевіряє знаходження відповідної програми в «білому» списку, куди кіберзлочинці помістили деякі програми, які, на їхню думку, не містять функцій для демонстрації комерційних пропозицій. До них належать програми камери, календаря, калькулятора, перегляду SMS/MMS і низки інших програм. Якщо в цьому списку знаходиться відповідність, то троян не робить подальших дій, оскільки показ реклами після старту «чистих» програм може насторожити користувача.
Якщо програма, яка запускається, відсутня в «білому» списку, Adware.AnonyPlayer.1.origin формує спеціальне повідомлення з використанням елемента WebView, що відображається поверх вікна програми, що почала роботу, і містить рекламу, зазначену керуючим сервером. У результаті власник пристрою може подумати, що джерело повідомлень - це запущена програма. При цьому автори троянця подбали про те, щоб відвести підозри від свого творіння, оскільки при запуску як самого Adware.AnonyPlayer.1.origin, так і додатка Android.Spy.510, ніякої реклами не відображається.
Співробітники компанії «Доктор Веб» рекомендують власникам планшетів і смартфонів з операційною системою Android встановлювати додатки тільки з довірених джерел, а також вкрай уважно і обережно ставитися до програм, що вимагають надання доступу до спеціальних можливостей операційної системи (Accessibility Service). У разі, якщо шкідливий додаток отримає цей доступ, він зможе почати взаємодію з графічним інтерфейсом і перехоплювати інформацію, що вводиться жертвою, працюючи як кейлоггер. У результаті програма може отримати можливість викрасти конфіденційні дані, в тому числі особисте листування, паролі та пошукові запити.
Відзначається, що записи, що деактивують троянський додаток Android.Spy.510, а також встановлюваної ним рекламної програми Adware.AnonyPlayer.1.origin, внесені в базу даних вірусів від Dr.Web і не представляють небезпеки для користувачів антивірусу.
