Thought Leadership
Die Virenanalysten von Doctor Web haben einen neuen Trojaner auf Google Play entdeckt. Der von Doctor Web als Android.MulDrop.924 klassifizierte Trojaner lädt Apps ohne Benutzererlaubnis herunter und installiert diese. Ferner blendet er aufdringliche Werbung ein.
Android.MulDrop.924 verbreitet sich über Google Play als Applikation unter dem Namen „Multiple Accounts: 2 Accounts“ und wurde bereits von über 1.000.000 Android-Geräten heruntergeladen. Die App ermöglicht die Nutzung mehrerer Benutzerkonten für Spiele und Applikationen. Doctor Web hat Google bereits über Android.MulDrop.924 informiert. Die App wurde daraufhin aus dem Play Store entfernt.
Nervige Werbung im Benachrichtigungsfeld
Der Trojaner verfügt über eine ungewöhnliche Modul-Architektur. Zwei Hilfsmodule sind verschlüsselt und in PNG-Bildern versteckt. Beim Starten der App extrahiert und kopiert der Trojaner seine Module in das lokale Verzeichnis /data und lädt dieses anschließend in den Hauptspeicher.
Eine dieser Komponenten enthält Werbe-Plug-ins, mit denen die Entwickler von Android.MulDrop.924 Geld verdienen wollen. Darunter ist auch das Modul Android.DownLoader.451.origin, das ohne Benutzererlaubnis Spiele und Apps herunterlädt und diese installiert. Darüber hinaus zeigt es aufdringliche Werbung im Systemtray an.
Geschützt mit Dr.Web Software
Android.MulDrop.924 verbreitet sich neben dem Google Play Store auch über Software-Webseiten. Eine der Trojaner-Versionen ist mit einem fremden Zertifikat signiert und enthält das Trojaner-Plug-in Android.Triada.99, welches Exploits herunterlädt, um an Root-Rechte zu gelangen. Alle bekannten Versionen von Android.MulDrop.924 sowie seine böswilligen Komponenten werden durch Dr.Web Security Space für Android erfolgreich entdeckt und beseitigt. Der Trojaner stellt somit keine Gefahr für Dr.Web Anwender dar.
