Специалисты антивирусной лаборатории компании "Доктор Веб" выявили опасную троянскую программу, которая целенаправленно обходит встроенные механизмы защиты операционной системы Android. Вредоносное приложение Android.MagicAd.1 умеет показывать рекламу в фоновом режиме, используя для этого сразу несколько изощрённых методов, часть из которых завязана на системные утилиты конкретных производителей.
Описание
Проблема затронула прежде всего владельцев устройств Xiaomi, поскольку основным каналом распространения трояна стал официальный каталог приложений GetApps. По данным лаборатории, зловред прятался более чем в пятидесяти различных играх и программах, которые появлялись в магазине на короткий срок - обычно не дольше месяца. После этого они исчезали, а на их место выкладывались новые модификации. Такая тактика позволяла злоумышленникам избегать преждевременного обнаружения, сохраняя при этом активность на уже заражённых устройствах. Сейчас ни одно из выявленных приложений с Android.MagicAd.1 недоступно для загрузки в GetApps, а разработчики, распространявшие троян, прекратили выпуск новых версий.
Специалисты "Доктор Веб" в своём отчёте поясняют, что первые образцы Android.MagicAd.1 появились ещё в 2025 году. Помимо каталога GetApps вредонос также встречался в магазине Samsung Galaxy Store, что указывает на целевую направленность атаки на пользователей этих двух вендоров.
Как работает зловред
Основная функциональность трояна скрыта в dex-модулях - исполняемых компонентах платформы Android, которые упакованы в зашифрованные нативные библиотеки и находятся в каталоге с ресурсами. В процессе работы вредоносная программа расшифровывает эти библиотеки, извлекает свои компоненты и запускает их. Перед тем как начать показ рекламы, Android.MagicAd.1 выполняет серию проверок. Он ищет признаки работы в виртуальной среде, проверяет, была ли установка приложения органической (то есть реальным пользователем, а не симуляцией), и сверяет IP-адрес заражённого устройства с собственным чёрным списком.
Если подозрительной активности не обнаружено, троян скрывает свой значок из меню главного экрана. Затем он создаёт канал уведомлений, через который запускает несколько сервисов постоянного присутствия - они необходимы для работы в фоне при закрытом окне вредоносного приложения. Далее через планировщик задач Android.MagicAd.1 устанавливает задание, которое периодически перезапускает эти сервисы. На устройствах с относительно старыми версиями Android троян дополнительно запускает виртуальный экран, чтобы один из его компонентов не прерывался системой.
Методы показа рекламы в фоне
Для демонстрации объявлений, когда окно приложения закрыто, Android.MagicAd.1 применяет несколько методик, выбираемых в зависимости от производителя заражённого устройства. Все они реализуются без явного запроса системного разрешения "SYSTEM_ALERT_WINDOW", которое обычно требуется для отображения поверх других программ. Вместо этого баннеры загружаются в виде так называемой полупрозрачной активности (Translucent Activity), что позволяет отрисовывать их поверх существующих окон.
Один из основных способов основан на отправке намерений (Intent) - системных сообщений, адресованных другим приложениям. С помощью этой техники троян обходит современные ограничения Android, запрещающие программам самостоятельно запускать себя. В зависимости от модели устройства Android.MagicAd.1 либо сам показывает объявления, либо "заставляет" целевые приложения демонстрировать баннеры.
Например, на устройствах Xiaomi зловред нацеливается на системный браузер Mi Browser и графическую оболочку Miui SystemUI. На устройствах Amazon TV под прицел попадает лончер Amazon Fire TV Home Screen. Поскольку эти программы являются системными, они способны обрабатывать намерения, даже когда не запущены пользователем напрямую. Троян отправляет отложенное намерение своему dex-компоненту, который переправляет его целевому приложению. В результате программа либо открывает рекламу, либо запускает модуль Android.MagicAd.origin, который уже демонстрирует объявление.
Если этот метод не срабатывает, троян делает ещё две попытки, после чего переходит к прямому показу рекламы без использования отложенных намерений. Похожая вариация применяется для эксплуатации приложений на устройствах Vivo. Здесь троян использует системный компонент Android Binder, обеспечивающий межпроцессное взаимодействие. Намерения передаются через контейнер данных Parcel, и в работу включаются системные программы iManager, Телефонная книга, Vivo Browser и Baidu IME Customized. Они, в свою очередь, запускают вредоносный dex-модуль, который выходит из фонового режима и показывает рекламу.
Универсальный метод с медиаплеером
Помимо методов, привязанных к конкретным производителям, разработчики Android.MagicAd.1 предусмотрели универсальный способ, работающий на большинстве устройств. Он эксплуатирует системный медиаплеер. Троян расшифровывает из своего тела аудиофайл, сохраняет его в рабочую директорию и запускает экземпляр медиаплеера, задавая минимальную громкость. Далее он связывает плеер с глобальной системой управления мультимедиа Android. Затем зловред устанавливает широковещательный приёмник, отслеживающий нажатия в плеере. С помощью специальной adb-команды он имитирует действие пользователя - нажимает кнопку записи и сразу закрывает окно плеера. Нажатие кнопки активирует системный медиаприёмник, который позволяет трояну перехватить управление и запустить рекламу.
Что это значит для пользователей
Хотя Android.MagicAd.1 не относится к категории программ-вымогателей или шпионов, его присутствие на устройстве создаёт серьёзные неудобства. Рекламные баннеры, которые непрерывно демонстрируются в фоне, потребляют трафик, снижают производительность и разряжают аккумулятор. Кроме того, троян может служить дроппером для более опасного вредоносного ПО, поскольку обладает возможностью закрепления в системе и выполнения произвольного кода.
"Доктор Веб" отмечает, что их антивирусное решение Dr.Web Security Space для мобильных устройств успешно детектирует и удаляет все известные версии Android.MagicAd.1. Пользователям рекомендуется установить защитное ПО и проверять подозрительные приложения, особенно если они были загружены из сторонних магазинов или от малоизвестных разработчиков. Важно также обращать внимание на разрешения, которые запрашивают программы, и своевременно обновлять операционную систему. Владельцам Xiaomi и Samsung стоит проявлять повышенную бдительность при установке игр и утилит через GetApps и Galaxy Store, даже если они кажутся официальными.
Индикаторы компрометации
SHA1
- 04d63d4276998340c6c229de871fe1d35f33e29e
- 0bb09b364066e40eca300c69ff35c5997c47f6d8
- 1dbb7c0935b33fdab821fac36f2b2471a8cbfa91
- 294909980d346aa91ce67d81cf0a724b8cc9fe50
- 30f32e2525cc33f441c3a42cb5bf9bc2864e6063
- 3fdcb8fbdd2095937ff6c465cc8e70a36c83171f
- 49f78717f3c90dc76712d38e0ee27a4cf69bd26f
- 4b38ef2d693ea224a1db12660e84b5a73272573d
- 59065414aed1b701935cf177d42212c2b8288dc3
- 5e42edce732178a609e7c8842abdc7318a483bea
- 67692d2f73bfa405a8b90761895254f0c3f899f8
- 744733839c75123d4456246e5a8120c9e4980766
- 78ada4be490b413ac81b8c833ac23c031e52b648
- 8c33a39cab9f0bdd0545536721d72ee2bfbfa237
- 9b38a5766d2a353d1b9fd31cc0282ea06f06f839
- a76c9c1d12410a1208cf608a1815b4d669548ac0
- ba77b57d62546bdd6f033fa536e0961d930c425f
- baca3ba5527d79a80704cd5b1c1797987b68fa45
- cc99738839b374bc37cb2f658b9ee5312b9615b6
- cd7e6f05aefe749e7e0c6260aa65d40b8dbc6446
- d1770d89afeb0d5a793793d9d99b76a16de33697
- d30e9ec9d38a0f07c3a11d93e5304161dee79d22
- d7d5c09890d4bd3ca678644c778945d979b91fb1
- db292ef17ffa3ca592a1ced83c831d9f65ea10d9
- e4ffe92ca873b303ad3a9168b96659dbdafcc35a
- e7fe4986ce691811fe72f7a45362378f98a44c7e
- f1b915c13e9b6fc0a9951f024c8506479bbef92c
- f313f879ccbff89aa956da8d672fb4f7e68ce275