Новый «троян» нашел очередную уязвимость в Android

Виталий Стриж, 18 октября 2013 в 02:32. 0

Новый «троян» нашел очередную уязвимость в Android

Компания «Доктор Веб», лидер российского рынка антивирусных продуктов сегодня сообщил о том, что выявлена новая вредоносная программа, занимающаяся кражей конфиденциальных сведений на платформе Android. Речь идет об Android-троянце, который на днях получил массовое распространение в мобильных сетях Южной Кореи. Главной его особенностью можно считать успешную маскировку от антивирусных программ, что многократно увеличивает риск их вредоносного воздействия. Создателям нового «трояна» удалось добиться такого успеха лишь потому, что была обнаружена очередная уязвимость в коде Android и теперь весь мир может ожидать скорого распространения вредоносной программы на своих смартфонах.

Компания «Доктор Веб» не теряет время и в вирусную базу антивирусной программы Dr.Web новый троянец уже добавлен под названием Android.Spy.40.origin. Основным способом его распространения сегодня считаются SMS-сообщения со ссылкой на файл с расширением apk. На юго-востоке Азии данный способ распространения «заразы» является одним из самых популярных среди злоумышленников. Естественно, что при таком раскладе единственной платформой, которая пострадает, будет ОС Android.

Как только «троян» Android.Spy.40.origin будет запущен, он запрашивает учетные данные владельца смартфона и получает доступ к административным функциям. Этого достаточно, чтобы украсть конфиденциальные данные. Естественно, сразу после установки троянца, ярлык программы удаляется и начинается скрытая работа по передаче данных на сервер кибепреступника.

Соединившись с удаленным сервером, троянец способен выполнять массу неприятных вещей. В частности он может заблокировать исходящие звонки, переслать список контактов, показать список установленных на смартфоне приложений, удалить любое из них или добавить новое. Более того, с помощью Android.Spy.40.origin кибепреступник сможет читать всю вашу СМС-переписку, или инициировать отправку сообщений с заранее заданным текстом.

Естественно, что возможности данной троянской программы пугают. Ведь любые конфиденциальные данные из текстовых сообщений, банковские реквизиты, пароли и банковские mTAN-коды могут стать известными злоумышленникам и тогда вся личная жизнь владельца телефона пойдет «под откос». Списки контактов, попав в руки киберпреступникам, могут стать отличным инструментом для СМС-спама и массовых фишинговых атак по выуживанию учетных данных пользователей.

Огромной проблемой на пути борьбы с Android.Spy.40.origin является возможность его скрытой работы. Этого удалось достичь благодаря использованию уязвимости в операционной системе Android. То есть, антивирусные программы просто не могут обнаружить вредоносный код троянца. Причиной такого поведения является злополучный бит специального поля General purpose bit flag, которое находится в заголовке архивного файла apk (он же zip). Троянец меняет его таким образом, чтобы антивирусная программа считала все содержимое вредоносного пакета зашифрованным. В результате данный apk-файл не сканируется, несмотря на присутствие в коде сигнатур с признаками вредоносного модуля.

Быстро разобравшись с данным алгоритмом маскировки нового троянца, специалисты «Доктор Веб» внесли изменения в свой антивирусный продукт и отныне все действия Android.Spy.40.origin не пройдут незамеченными. Теперь любые попытки использования данной уязвимости на платформе Android не возымеют действия, поскольку Dr.Web будет детектировать их на самой ранней стадии. Но… владельцам Android-устройств не стоит забывать о простых правилах безопасности и избегать установки неизвестных приложений, особенно скачанных по ссылкам из СМС-сообщений.

Публикации по теме
Новости OSZone – всё 29 октября 2017, 14:26 Новости OSZone – всё

На сайте OSZone больше не будут публиковаться новости Microsoft, IT и железа. С февраля 2007 года у нас вышло почти 20 тысяч новостей по этим темам, и я хочу поблагодарить всех авторов, более 10 лет наполнявших ресурс свежими материалами. Отдельное огромное спасибо Алексею Алтухову, опубликовавшему свыше 10 тысяч...

В канале «Ранний доступ» появилась сборка Windows 10 17017 14 октября 2017, 10:15

В пятницу компания Microsoft выпустила не только кумулятивное обновление для финальной версии Windows 10 Fall Creators Update, но и очередную предварительную сборку для всех инсайдеров в канале «Ранний доступ». Раньше здесь было разделение между сборками Redstone 3 и Redstone 4 при выборе опции Skip ahead, но теперь этого...

В канале «Ранний доступ» появилась сборка Windows 10 17017
Выпущено обновление Windows 10 16299.19 14 октября 2017, 09:05 Выпущено обновление Windows 10 16299.19

Три дня осталось до начала распространения обновления Windows 10 Fall Creators Update среди всех пользователей этой операционной системы. В преддверии этого события компания Microsoft выпустила очередное кумулятивное обновление, которое пришло на смену вышедшему 11 дней назад обновлению 16299.15.Новая сборка получила...