Троян Android.MagicAd показывает рекламу вопреки всем ограничениям

Специалисты антивирусной лаборатории компании «Доктор Веб» обнаружили троянскую программу Android.MagicAd, которая различными способами обходит ограничения ОС Android и показывает рекламу при работе в фоне. Один из этих методов является универсальным, другие рассчитаны на устройства определенных производителей. Среди них — эксплуатация сторонних приложений, а также использование системного медиаплеера.

Android.MagicAd.1 распространялся через официальный каталог приложений для устройств Xiaomi GetApps и скрывался в более чем 50 различных играх и программах. Они появлялись в магазине на короткий срок — чаще всего до месяца, после чего пропадали, и вместо них появлялись новые. Возможно, таким образом злоумышленники пытались защитить Android.MagicAd.1 от преждевременного обнаружения, сохранив при этом его активность: после удаления из магазина троянские программы продолжают оставаться на устройствах пользователей и могут и дальше выполнять вредоносную деятельность. В настоящее время ни одно из выявленных нами приложений с Android.MagicAd.1 не доступно для загрузки в каталоге GetApps, а у распространявших их разработчиков перестали появляться новые программы с трояном.

Проведенное вирусными аналитиками «Доктор Веб» исследование показало, что первые версии Android.MagicAd.1 появились в 2025 году и помимо каталога GetApps также встречались в Samsung Galaxy Store.

Примеры игр и программ из каталога GetApps, в которых скрывался Android.MagicAd.1. На момент публикации нашей новости эти и другие модификации трояна стали недоступны для скачивания

Часть вредоносной функциональности Android.MagicAd.1 находится в dex-модулях, которые скрыты в зашифрованных нативных библиотеках в каталоге с файловыми ресурсами трояна. В процессе работы он расшифровывает эти библиотеки, извлекает из них свои компоненты и запускает.

Прежде чем приступить к демонстрации рекламы, троян выполняет ряд проверок, чтобы убедиться, что его окружение является безопасным. Например, он ищет признаки работы в виртуальной среде, проверяет, была ли его установка органической, нет ли IP-адреса зараженного устройства в его черном списке и т. д.

Если Android.MagicAd.1 не обнаруживает подозрительную активность, он скрывает свой значок из списка программ в меню главного экрана. Затем он создает канал уведомлений, через который запускает несколько вредоносных сервисов постоянного присутствия, необходимых для работы в фоновом режиме при закрытом окне вредоносного приложения. Далее через планировщик задач Android.MagicAd.1 создает задание, которое периодически перезапускает сервисы, проверяющие работу канала уведомлений и при необходимости запускающие его вновь. Кроме того, при работе на устройствах с относительно старыми версиями ОС Android троян запускает виртуальный экран, чтобы работа одного из его компонентов не прерывалась системой.

Чтобы показывать рекламу в фоновом режиме, когда его окно закрыто, Android.MagicAd.1 применяет ряд методик, выбираемых на основе производителя зараженного устройства. При этом они реализуются без явного запроса системного разрешения SYSTEM_ALERT_WINDOW, которое позволяет приложению отображаться поверх других программ.

Независимо от применяемого способа, все рекламные баннеры загружаются в виде полупрозрачной активности (Translucent Activity), что дает возможность трояну отрисовывать их поверх существующих окон.

Примеры рекламы, которую демонстрирует Android.MagicAd.1

Одна из методик реализуется через намерения (Intent), адресованные другим приложениям. Она позволяет трояну обойти ограничения современных версий ОС Android, не позволяющие программам запускать самих себя. В зависимости от модели зараженного устройства, с помощью этой техники Android.MagicAd.1 либо сам демонстрирует объявления, либо непосредственно «заставляет» целевые программы показывать баннеры с рекламой.

В одном из вариантов данного способа целью трояна являются:

• браузер Mi Browser на устройствах Xiaomi;
• графическая оболочка Miui SystemUI на устройствах Xiaomi;
• лончер Amazon Fire TV Home Screen на устройствах Amazon TV.

Все это — системные приложения на соответствующих устройствах, поэтому они способны обрабатывать намерения, даже когда не запущены пользователем напрямую. Пока эти программы активны и могут принимать намерения, Android.MagicAd.1 может использовать их для показа объявлений.

Стоит отметить, что если Mi Browser установлен на устройстве Xiaomi не как системное приложение, троян также может использовать эту программу для демонстрации рекламы — до тех пор, пока окно браузера не будет закрыто.

Когда Android.MagicAd.1 обнаруживает Mi Browser на подходящем устройстве, он отправляет отложенное намерение для запуска рекламы своему dex-компоненту (детектируется Dr.Web как Android.MagicAd.1.origin). Тот формирует из него собственное намерение и передает браузеру, который извлекает исходное намерение и в соответствии с ним запускает рекламу.

Взаимодействие с двумя другими программами несколько отличается — они используются для вызова трояна из фонового режима. Вначале Android.MagicAd.1 отправляет модулю Android.MagicAd.1.origin отложенное намерение для запуска рекламы, и тот передает целевым программам собственное намерение для своего пробуждения. Если это приложение Miui SystemUI, оно в ответ отправляет свое намерение для запуска модуля. Если же целевой программой является Amazon Fire TV Home Screen, она запускает модуль напрямую — по имени его пакета. Получив управление, модуль Android.MagicAd.origin запускает рекламу, которая поступила ему в отложенном намерении от основного вредоносного приложения.

Если трояну не удается показать рекламу, он пытается использовать этот способ еще дважды, и в случае неудачи пытается показать рекламу напрямую, уже не задействуя отложенные намерения и свой вредоносный dex-модуль.

Другая вариация этого способа похожа на предыдущую и применяется для эксплуатации программ на устройствах Vivo. Она отличается тем, что запуск рекламы происходит при помощи Android Binder — системного компонента, обеспечивающего взаимодействие между процессами. В данном случае троян нацелен на следующие системные программы:

• iManager,
• Телефонная книга,
• Vivo Browser,
• Baidu IME Customized.

Android.MagicAd.1 запускает их через Android Binder, отправляя ему обычные намерения через контейнер данных Parcel. Эти программы затем запускают троянский компонент Android.MagicAd.origin, который после выхода из фонового режима показывает рекламу.

В Android.MagicAd.1 также предусмотрено несколько других методик для демонстрации рекламы при работе в фоне, среди них — использование медиаплеера. В отличие от способов, нацеленных на определенные устройства, этот метод является универсальным и работает на большинстве моделей от различных производителей. Android.MagicAd.1 расшифровывает из своего тела аудиофайл и сохраняет его в рабочую директорию. Затем вредоносная программа запускает свой экземпляр системного медиаплеера, задает в нем минимальную громкость и связывает его с глобальной системой управления мультимедиа ОС Android. Далее для запуска рекламы Android.MagicAd.1 устанавливает широковещательный приемник, отслеживающий нажатия в этом плеере. Затем троян при помощи специальной adb-команды имитирует действия пользователя, нажимая в плеере кнопку записи, после чего сразу же закрывает его окно. Нажатие кнопки приводит к срабатыванию системного медиаприемника, который позволяет Android.MagicAd.1 перехватить управление и запустить рекламу.

Dr.Web Security Space для мобильных устройств надежно детектирует и удаляет все известные версии вредоносной программы Android.MagicAd.1, поэтому для наших пользователей она опасности не представляет.

Индикаторы компрометации

Подробнее об Android.MagicAd.1

Подробнее об Android.MagicAd.1.origin