Новий Android-троянець

25.10.2013

За повідомленням компанії «Доктор Веб», з'явився новий Android-троянець, призначений для крадіжки у південнокорейських користувачів їх конфіденційних відомостей. За своїм функціоналом він схожий з аналогічними шкідливими програмами, однак при його створенні зловмисниками була використана вразливість операційної системи Android, що дозволяє обійти перевірку антивірусними програмами, що істотно збільшує потенційний ризик для власників Android-пристроїв. Зараз основна «зона проживання» цього троянця - Південна Корея, проте в майбутньому його можливі модифікації цілком можуть почати поширюватися і в інших країнах.

Новий троянець, доданий у вірусну базу Dr.Web як Android.Spy.40.origin, поширюється серед південнокорейських користувачів за допомогою небажаних СМС-повідомлень, що містять посилання на apk-файл. Після установки і запуску Android.Spy.40.origin запитує у користувача доступ до функцій адміністратора мобільного пристрою, а потім видаляє свій значок з головного екрана, потай продовжуючи свою роботу.

Далі троянець з'єднується з віддаленим сервером, звідки отримує подальші вказівки. Зокрема, Android.Spy.40.origin здатний виконати наступні дії:

почати перехоплення входять СМС і завантаження вмісту на сервер (від користувача ці повідомлення приховуються);
блокувати вихідні дзвінки;
відправити на сервер список контактів або список встановлених додатків;
видалити або встановити певний додаток, зазначений у надійшла команді;
відправити СМС на вказаний в команді номер із зазначеним текстом.

Ця шкідлива програма може представляти серйозну загрозу для користувачів, тому що в перехоплених нею СМС-повідомлення може містити конфіденційна інформація, що включає як особисту, так і ділову листування, відомості про банківські реквізити, а також одноразові mTAN-коди, призначені для захисту здійснюваних фінансових операцій.

Проте головною особливістю Android.Spy.40.origin є використання уразливості ОС Android, яка дозволяє шкідливій програмі уникнути детектування існуючими антивірусними рішеннями. Для цього зловмисники внесли до apk-файл троянця спеціальні зміни (apk-файл є стандартним zip-архівом, що мають інше розширення).

Фахівці компанії «Доктор Веб» оперативно внесли в функціонал антивіруса Dr.Web для Android необхідні зміни, тому шкідливі програми, що використовують цей метод, успішно їм детектуються. Тим не менш, користувачам Android-пристроїв настійно рекомендується дотримуватися підвищеної обережності і не встановлювати підозрілі програми, а також не переходити за посиланнями, отриманими в небажаних СМС-повідомленнях.