Эксперты «Доктор Веб» выявили в каталоге Google Play многофункционального Android-бота, которым злоумышленники управляют при помощи скриптов Java-интерпретатора BeanShell. Малварь сочетает функциональность рекламного трояна и кликера, а также может использоваться для проведения фишинговых атак. Троян получил имя Android.Circle.1 и в основном распространялся под видом сборников изображений, программ с гороскопами, приложений для онлайн-знакомств, фоторедакторов, игр и системных утилит (примеры можно увидеть ниже). Специалисты обнаружили 18 его модификаций, общее число установок которых превысило 700 000. В настоящее время все они уже удалены из Google Play, а домены управляющих серверов малвари сняты с делегирования. Внешне безобидные приложения выполняли заявленные в описании функции, поэтому у пользователей не было причин заподозрить в них угрозу. Кроме того, некоторые из них после установки выдавали себя за важный системный компонент, что обеспечивало им дополнительную защиту от возможного удаления. Android.Circle.1 представлял собой бот, выполняющий различные действия по команде злоумышленников. Функции бота были реализованы через встроенную в трояна библиотеку с открытым исходным кодом BeanShell. Она представляет собой интерпретатор Java-кода с функциями скриптового языка на основе Java и позволяет исполнять код «на лету». При запуске вредоносная программа подключается к управляющему серверу, передает на него сведения об инфицированном устройстве и ожидает поступления заданий. Задания малварь получала через сервис Firebase. Троян сохранял их в конфигурационный файл и извлекал из BeanShell-скрипты с командами, которые затем выполнял. Аналитики «Доктор Веб» зафиксировали следующие задания: удалить значок троянского приложения из списка ПО в меню главного экрана; удалить значок троянского приложения и загрузить в веб-браузере заданную в команде ссылку; выполнить нажатие (клик) на загруженном сайте; показать рекламный баннер. Таким образом, основное предназначение данной малвари — показ рекламы и загрузка различных сайтов, на которых троян имитирует действия пользователей. Например, он может переходить по ссылкам на сайтах, нажимать на рекламные баннеры или другие интерактивные элементы (то есть является кликером). Примеры рекламных объявлений приведены ниже. Однако это – лишь часть функций, которые доступны вредоносу. Фактически, троян так же может загрузить и выполнить любой код, ограничиваясь лишь доступными системными разрешениями программы, в которую он встроен. Например, если сервер отдаст соответствующую команду, малварь сможет загрузить WebView с мошенническим или вредоносным сайтом для проведения фишинговой атаки. При этом выполнение стороннего кода размещенными в Google Play приложениями является прямым нарушением правил каталога. Исследователи пишут, что Android.Circle.1 создан с использованием механизма Multiple APKs. Он позволяет разработчикам подготавливать и размещать в Google Play множество версий одной программы для поддержки различных моделей устройств и процессорных архитектур. Благодаря этому механизму уменьшается размер apk-файлов, поскольку в них содержатся лишь необходимые для работы на конкретном устройстве компоненты. При этом файлы с ресурсами, а также модулями и библиотеками приложений могут находиться в отдельных apk-файлах (так называемый механизм разделения или разбития — Split APKs) и отличаться или вовсе отсутствовать в зависимости от целевого устройства. Такие вспомогательные apk-файлы автоматически устанавливаются вместе с главным пакетом программы и воспринимаются операционной системой как единое целое. Часть вредоносных функций малвари вынесена в нативную библиотеку, которая как раз и находится в одном из таких вспомогательных apk. Поэтому фактически Multiple APKs превращается в своеобразный механизм самозащиты трояна. Если специалисты по информационной безопасности обнаружат только основной пакет Android.Circle.1, без остальных apk-файлов (с необходимыми для анализа компонентами) изучение вредоносного приложения может быть значительно затруднено или вовсе невозможно. Кроме того, в случае потенциальной таргетированной атаки злоумышленники могут подготовить множество «чистых» вариантов программы и внедрить трояна только в одну или несколько ее копий. Троянские модификации будут устанавливаться лишь на определенные модели устройств, а для остальных пользователей приложение останется безобидным, что также снизит вероятность оперативного обнаружения угрозы. Хотя в настоящее время все выявленные модификации трояна были удалены из Google Play, эксперты предупреждают, что злоумышленники могут загрузить в каталог новые версии малвари, поэтому владельцам Android-устройств следует с осторожностью устанавливать неизвестные приложения.