Специалисты антивирусной компании «Доктор Веб» выявили девять приложений из каталога Google Play со встроенным троянцем Android.RemoteCode.106.origin. Вредонос занимается тем, что накручивает просмотры продвигаемых веб-ресурсов и крадет конфиденциальную информацию о пользователе зараженного устройства.

По данным «Доктор Веб», в общей сложности приложения с содержанием вредоносного компонента загрузили от 2 до 11 миллионов пользователей. Вот их список:

— Sweet Bakery Match 3 – Swap and Connect 3 Cakes версии 3.0;

— Bible Trivia версии 1.8;

— Bible Trivia – FREE версии 2.4;

— Fast Cleaner light версии 1.0;

— Make Money 1.9;

— Band Game: Piano, Guitar, Drum версии 1.47;

— Cartoon Racoon Match 3 — Robbery Gem Puzzle 2017 версии 1.0.2;

— Easy Backup & Restore версии 4.9.15;

— Learn to Sing версии 1.2.

Проникнув на устройство, вредонос передает запрос командному центру, после чего загружает несколько дополнительных модулей и начинает получать ссылки на продвигаемые ресурсы, открывая их в невидимом для пользователя окне WebView. В отдельных случаях троянец может производить фишинговые атаки, если получит такую команду от разработчиков.

Побочные функции Android.RemoteCode.106.origin — демонстрация рекламных объявлений, за просмотр и переход по которым мошенники также получают деньги, и кража персональных данных. При этом, судя по всему, активничать троянец начинает, только если объем данных, которые занимают записанные в память устройства файлы, оказывается не ниже определенного разработчиками минимума.