ИБ-исследователи из Palo Alto Networks обнаружили три различных варианта вредоносного ПО для Android-устройств, которое эксперты назвали Gunpoder. Вредонос маскируется под эмулятор приложений, используемых для игр Nintendo. У антивирусного ПО возникают проблемы с обнаружением Gunpoder, так как он упакован при помощи рекламной библиотеки Airpush, сообщают эксперты из исследовательской группы Palo Alto Networks Unit 42.
Gunpoder может выполнять различные “захватнические” действия, включая сбор закладок и истории браузера, рассылку вредоносного ПО на другие устройства с помощью SMS-сообщений, а также показывать вредоносную рекламу и выполнять другой код. Самое интересное, что жертва сама платит за вредоносное ПО. Когда приложение Gunpoder запускается, оно предлагает пользователю приобрести пожизненную лицензию для эмулятора за $0,20 или $0,49. Оплата совершается через сервисы PayPal или Skrill.
Gunpoder инфицирует Android-устройства в 13 странах по всему миру, включая Ирак, Таиланд, Индию, Индонезию, Южную Африку, Россию, Францию, Мексику, Бразилию, Саудовскую Аравию, Италию, США и Испанию. Эксперты обнаружили интересный факт – вредонос распространяется повсюду, кроме Китая. Вредоносное ПО запрограммировано так, что оно не может рассылаться с помощью SMS-сообщений, если жертва находится в КНР. ИБ-исследователи также заметили, что вредоносное ПО, показывая мошенническую рекламу, пытается имитировать страницу в Facebook. Вредонос предлагает пользователям загрузить различные приложения для того, чтобы получить подарок. (Palo Alto Networks/NovostIT)