Stručnjaci firme Lukaut (Lookout) otkrili su novog Trojanca za Android OS sakrivenog u 32 legitimne aplikacije sa četiri programerska naloga, koje su korisnici preuzimali sa Gugl plej marketa. Prema podacima sa Gugl pleja, ove aplikacije su ukupno preuzete između 2 i 9 miliona puta.
Lukaut je obavestio Gugl o svom otkriću, a kompanija je odmah reagovala uklanjanjem svih spornih aplikacija i suspenzijom programerskih naloga koji su povezani sa ovim aplikacijama, koja će biti snazi sve dok traje istraga.
Trojanac "BadNews" je maskiran kao bezazlena, iako donekle agresivna oglašivačka mreža. S obzirom da na Gugl plej nije lako plasirati maliciozni kod, autori Trojanca su napravili malicioznu oglasnu mrežu, da bi mogli da proguraju malver u zaražene uređaje i tako zaobiđu proveru aplikacija.
"BadNews" može da prikazuje lažne poruke sa vestima, šalje osetljive podatke kao što su broj telefona i IMEI (serijski broj) uređaja svom serveru za komandu i kontrolu (C&C server) i navede korisnike da instaliraju dodatne maliciozne aplikacije kao što je "AlphaSMS", dobro poznati malver koji je deo SMS prevara sa porukama koje se naplaćuju po posebnoj, višoj tarifi.
"BadNews" dolazi u paketu sa igricama, aplikacijama za pozadine (wallpaper), rečnicima i aplikacijama za dijete, ali i raznim drugim aplikacijama. Većina aplikacija koja je sakrivala malver "BadNews" je namenjena korisnicima sa ruskog govornog područja.
Kada se aktivira na uređaju, Trojanac "BadNews" kontaktira C&C server svaka četiri sata tražeći nove instrukcije i šaljući mu podatke o uređaju kao što su broj telefona i serijski broj uređaja (IMEI). C&C server šalje instrukcije malveru šta je sledeće što treba da uradi, a to uključuje i prikazivanje lažnih vesti korisniku, i navođenje korisnika da instaliraju "AlphaSMS" aplikaciju koja je poznata po SMS prevarama, predstavljajući je kao važno ažuriranje za Skajp i Vkontakte.
Lukaut je identifikovao tri C&C servera malvera, jedan u Rusiji, jedan u Ukrajini i još jedan u Nemačkoj. Sva tri servera su još uvek aktivna.
