Реклама на новостных сайтах распространяет инфицированное обновление Android

Вредоносная реклама на популярных новостных порталах автоматически скачивает пакет поддельных обновлений системы Android Marshmallow на устройства пользователей. Она была найдена на респектабельных сайтах, вроде мобильных версий Slashdot и Android Police, на новостных сайтах в Германии и Франции. Результатом становится их заражение трояном, нацеленным на банки России, Франции и Германии.

Открытие было сделано компанией Intel Security Mobile Research и получило название Android/Dmisk. Впервые проблема была обнаружена в апреле, однако более плотное изучение показало следы деятельности трояна ещё в январе. При посещении некоторых сайтов на устройства загружается файл Android_Update_6.apk.

После установки файла на устройстве появляется приложение Android Update 6, после запуска которого начинает работать Dmisk. Программа собирает финансовые данные и отправляет на сервер, после чего прослушивает входящие СМС, используя фильтры, чтобы выделить популярные финансовые организации трёх вышеназванных стран. Программа также умеет переходить по рекламным ссылкам.

Ранние версии приложения в прошлом октябре были доступны в магазине Play Store, однако Google быстро удалила их. Источником являются сторонние магазины приложений вроде ApkPure. Кампания по распространению Dmisk остаётся активной, особенно в Германии и Франции, серверы были обнаружены в Эстонии.