Infekcja odbywała się w czterech krokach. Po pobraniu i instalacji pierwszej aplikacji dokonywała ona rozszyfrowania i uruchomienia pierwszej paczki danych. W drugim etapie paczka była deszyfrowana, a na telefonie instalowany był kolejny komponent.
Zawierał on adres strony internetowej, z którego pobierana była kolejna aplikacja. Użytkownik po pięciu minutach był proszony o jej zainstalowanie. Oprogramowanie było przedstawiane jako Adobe Flash Player, aktualizacja Androida lub Adobe Update.
Podczas instalacji aplikacja wymuszała na użytkowniku przyznanie wszystkich uprawnień. Dzięki temu była w stanie uruchomić i odszyfrować czwartą paczkę danych. Finalnie na zainfekowanym urządzeniu pojawiał się koń trojański, który wykradał dane bankowości internetowej.
Jak pozbyć się szkodnika?
Firma ESET zgłosiła już Google złośliwe aplikacje, dzięki czemu zostały one usunięte z Google Play. Szkodniki ukrywały się pod postacią MEX Tools, Clear Android, Cleaner for Android, World News, WORLD NEWS oraz World News PRO.
Osoby, które zainstalowały te aplikacje na swoim urządzeniu, powinny jak najszybciej pozbyć się szkodnika. W takim przypadku należy postępować według poniższych instrukcji:
- Dezaktywować uprawnienia administratora dla zainstalowanej aplikacji (konia trojańskiego):
Wejdź w Ustawienia > (Ogólne) > Zabezpieczenia > Administratorzy urządzeń i wyszukaj Adobe Flash Player, Adobe Update lub Android Update. - Odinstalować złośliwą aplikację:
Ustawienia> (Ogólne) > Menedżer aplikacji / Aplikacje i poszukaj konkretnych aplikacji (Adobe Flash Player, Adobe Update lub Android Update) oraz je odinstaluj. - Usunąć z urządzenia fałszywą aplikację pobraną z Google Play (odpowiedzialną za pobranie konia trojańskiego):
Ustawienia > (Ogólne) > Menedżer aplikacji / Aplikacje i wyszukaj złośliwą aplikację, następnie ją odinstaluj.
Źródło: ESET