- Автор темы
- #1
Аналитики компании «Доктор Веб» обнаружили троян Android.MagicAd, который обходит защитные механизмы Android и показывает рекламу даже тогда, когда зараженное приложение работает в фоновом режиме. Малварь распространялась через официальный каталог Xiaomi GetApps (более чем в 50 играх и приложениях), а также встречалась в Samsung Galaxy Store.
Отмечается, что зараженные приложения редко задерживались в официальных магазинах на срок более месяца. Однако после удаления одних приложений в магазине появлялись новые с тем же вредоносом. Вероятно, таким образом операторы малвари стремились как можно дольше оставаться незамеченными.
По данным исследователей, первые версии этого трояна появились еще в 2025 году, и для обхода защиты Android малварь использует сразу несколько техник, часть из которых рассчитана на устройства конкретных производителей, а одна работает практически на любых устройствах.
Некоторые функции MagicAd скрыты внутри зашифрованных нативных библиотек. Во время работы троян расшифровывает их, извлекает необходимые модули и запускает их в памяти устройства.
Перед активацией малварь проверяет окружение, пытаясь определить, не работает ли она в виртуальной среде, а также анализирует способ установки приложения, проверяет IP-адрес жертвы и выполняет ряд других тестов. Если ничего подозрительного не обнаружено, вредонос скрывает свой значок из меню приложений и запускает набор сервисов, отвечающих за постоянную работу в фоновом режиме.
Для поддержания активности троян использует канал уведомлений и планировщик задач Android, который регулярно перезапускает его компоненты. В старых версиях ОС он даже создает виртуальный экран, чтобы система не останавливала работу отдельных модулей.
Как уже было сказано выше, основная задача малвари — показ рекламы, который осуществляется поверх других окон без получения разрешения SYSTEM_ALERT_WINDOW, которое обычно требуется для подобных действий. Все рекламные объявления загружаются в виде полупрозрачных активностей (Translucent Activity), что позволяет отображать их поверх уже открытых приложений.
Для обхода ограничений Android малварь злоупотребляет механизмом намерений (Intent), адресованных другим приложениям. Так, на устройствах Xiaomi троян взаимодействует с системными компонентами Mi Browser и Miui SystemUI, а на устройствах Amazon TV использует лаунчер Amazon Fire TV Home Screen. Через эти приложения вредонос может запускать собственные рекламные модули и вынуждает системные программы отображать баннеры.
Для устройств Vivo предусмотрена отдельная схема. В этом случае троян использует Android Binder (системный компонент, обеспечивающий взаимодействие между процессами) и нацеливается на системные приложения iManager, телефонную книгу, Vivo Browser и Baidu IME Customized, которые тоже помогают вывести вредоносный компонент из фонового режима и показать рекламу.
Однако наиболее интересной исследователи называют универсальную технику атаки, работающую на большинстве Android-устройств. Для нее MagicAd использует системный медиаплеер. Вредонос сохраняет на устройство специальный аудиофайл, запускает собственный экземпляр плеера, задает в нем минимальную громкость и связывает его с глобальной системой управления мультимедиа в Android.
Для запуска рекламы малварь устанавливает широковещательный приемник, отслеживающий нажатия в этом плеере. Затем с помощью adb-команды вредонос имитирует нажатие кнопки записи, после чего закрывает окно плеера. Это действие приводит к срабатыванию медиаприемника, через который троян получает управление и может запустить рекламу.
Исследователи отмечают, что на момент публикации отчета ни одно из вредоносных приложений уже не было доступно для загрузки через GetApps.
Отмечается, что зараженные приложения редко задерживались в официальных магазинах на срок более месяца. Однако после удаления одних приложений в магазине появлялись новые с тем же вредоносом. Вероятно, таким образом операторы малвари стремились как можно дольше оставаться незамеченными.
По данным исследователей, первые версии этого трояна появились еще в 2025 году, и для обхода защиты Android малварь использует сразу несколько техник, часть из которых рассчитана на устройства конкретных производителей, а одна работает практически на любых устройствах.
Некоторые функции MagicAd скрыты внутри зашифрованных нативных библиотек. Во время работы троян расшифровывает их, извлекает необходимые модули и запускает их в памяти устройства.
Перед активацией малварь проверяет окружение, пытаясь определить, не работает ли она в виртуальной среде, а также анализирует способ установки приложения, проверяет IP-адрес жертвы и выполняет ряд других тестов. Если ничего подозрительного не обнаружено, вредонос скрывает свой значок из меню приложений и запускает набор сервисов, отвечающих за постоянную работу в фоновом режиме.
Для поддержания активности троян использует канал уведомлений и планировщик задач Android, который регулярно перезапускает его компоненты. В старых версиях ОС он даже создает виртуальный экран, чтобы система не останавливала работу отдельных модулей.
Как уже было сказано выше, основная задача малвари — показ рекламы, который осуществляется поверх других окон без получения разрешения SYSTEM_ALERT_WINDOW, которое обычно требуется для подобных действий. Все рекламные объявления загружаются в виде полупрозрачных активностей (Translucent Activity), что позволяет отображать их поверх уже открытых приложений.
Для обхода ограничений Android малварь злоупотребляет механизмом намерений (Intent), адресованных другим приложениям. Так, на устройствах Xiaomi троян взаимодействует с системными компонентами Mi Browser и Miui SystemUI, а на устройствах Amazon TV использует лаунчер Amazon Fire TV Home Screen. Через эти приложения вредонос может запускать собственные рекламные модули и вынуждает системные программы отображать баннеры.
Для устройств Vivo предусмотрена отдельная схема. В этом случае троян использует Android Binder (системный компонент, обеспечивающий взаимодействие между процессами) и нацеливается на системные приложения iManager, телефонную книгу, Vivo Browser и Baidu IME Customized, которые тоже помогают вывести вредоносный компонент из фонового режима и показать рекламу.
Однако наиболее интересной исследователи называют универсальную технику атаки, работающую на большинстве Android-устройств. Для нее MagicAd использует системный медиаплеер. Вредонос сохраняет на устройство специальный аудиофайл, запускает собственный экземпляр плеера, задает в нем минимальную громкость и связывает его с глобальной системой управления мультимедиа в Android.
Для запуска рекламы малварь устанавливает широковещательный приемник, отслеживающий нажатия в этом плеере. Затем с помощью adb-команды вредонос имитирует нажатие кнопки записи, после чего закрывает окно плеера. Это действие приводит к срабатыванию медиаприемника, через который троян получает управление и может запустить рекламу.
Исследователи отмечают, что на момент публикации отчета ни одно из вредоносных приложений уже не было доступно для загрузки через GetApps.