Новый Android-троянец

25.10.2013

По сообщению компании «Доктор Веб», появился новый Android-троянец, предназначенный для кражи у южнокорейских пользователей их конфиденциальных сведений. По своему функционалу он схож с аналогичными вредоносными программами, однако при его создании злоумышленниками была использована уязвимость операционной системы Android, позволяющая обойти проверку антивирусными программами, что существенно увеличивает потенциальный риск для владельцев Android-устройств. В настоящий момент основная «зона обитания» этого троянца — Южная Корея, однако в будущем его возможные модификации вполне могут начать распространяться и в других странах.

Новый троянец, добавленный в вирусную базу Dr.Web как Android.Spy.40.origin, распространяется среди южнокорейских пользователей при помощи нежелательных СМС-сообщений, содержащих ссылку на apk-файл. После установки и запуска Android.Spy.40.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства, а затем удаляет свой значок с главного экрана, скрытно продолжая свою работу.

Далее троянец соединяется с удаленным сервером, откуда получает дальнейшие указания. В частности, Android.Spy.40.origin способен выполнить следующие действия:

начать перехват входящих СМС и загрузку их содержимого на сервер (от пользователя эти сообщения скрываются);
блокировать исходящие звонки;
отправить на сервер список контактов или список установленных приложений;
удалить или установить определенное приложение, указанное в поступившей команде;
отправить СМС на заданный в команде номер с указанным текстом.

Эта вредоносная программа может представлять серьезную угрозу для пользователей, т.к. в перехватываемых ею СМС-сообщениях может содержаться конфиденциальная информация, включающая как личную, так и деловую переписку, сведения о банковских реквизитах, а также одноразовые mTAN-коды, предназначенные для защиты совершаемых финансовых операций. 

Однако главной особенностью Android.Spy.40.origin является использование уязвимости ОС Android, которая позволяет вредоносной программе избежать детектирования существующими антивирусными решениями. Для этого злоумышленники внесли в apk-файл троянца специальные изменения (apk-файл является стандартным zip-архивом, имеющим другое расширение).

Специалисты компании «Доктор Веб» оперативно внесли в функционал антивируса Dr.Web для Android необходимые изменения, поэтому вредоносные программы, использующие описанный выше метод, успешно им детектируются. Тем не менее, пользователям Android-устройств настоятельно рекомендуется соблюдать повышенную осторожность и не устанавливать подозрительные приложения, а также не переходить по ссылкам, полученным в нежелательных СМС-сообщениях.

Наши контакты

Наш адрес:02660 г. Киев,
ул. М.Расковой 19, офис 320
Тел-факс общий:044 239-21-47
Телефон мобильный:067 795-34-18
Телефон отдела КСЗИ:044 500-65-78
Электронная почта:tzi@tzi.com.ua

Новости

  1. 29.01.2015 ОПАСНЫЙ ШИФРОВАЛЬЩИК CTB-LOCKER
  2. 24.09.2014 BlackEnergy - троян, функцинирующий на Украине и Польше
  3. 22.09.2014 Вирус ворует деньги со смартфонов украинцев

Статьи

  1. ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАКОНОДАВСТВА ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
  2. КОНТРОЛЬ ЗА ДОДЕРЖАННЯМ ЗАКОНОДАВСТВА ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
  3. НЕОБХІДНІСТЬ СТВОРЕННЯ КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ (КСЗІ)

© 2009-2024 ТЗИ - техническая защита информации. Копирование материалов только с разрешения владельца сайта.
Создание сайта компанией МАРАТ