Новый «троян» нашел очередную уязвимость в Android

Компания «Доктор Веб», лидер российского рынка антивирусных продуктов сегодня сообщил о том, что выявлена новая вредоносная программа, занимающаяся кражей конфиденциальных сведений на платформе Android. Речь идет об Android-троянце, который на днях получил массовое распространение в мобильных сетях Южной Кореи. Главной его особенностью можно считать успешную маскировку от антивирусных программ, что многократно увеличивает риск их вредоносного воздействия. Создателям нового «трояна» удалось добиться такого успеха лишь потому, что была обнаружена очередная уязвимость в коде Android и теперь весь мир может ожидать скорого распространения вредоносной программы на своих смартфонах.

Компания «Доктор Веб» не теряет время и в вирусную базу антивирусной программы Dr.Web новый троянец уже добавлен под названием Android.Spy.40.origin. Основным способом его распространения сегодня считаются SMS-сообщения со ссылкой на файл с расширением apk. На юго-востоке Азии данный способ распространения «заразы» является одним из самых популярных среди злоумышленников. Естественно, что при таком раскладе единственной платформой, которая пострадает, будет ОС Android.

Как только «троян» Android.Spy.40.origin будет запущен, он запрашивает учетные данные владельца смартфона и получает доступ к административным функциям. Этого достаточно, чтобы украсть конфиденциальные данные. Естественно, сразу после установки троянца, ярлык программы удаляется и начинается скрытая работа по передаче данных на сервер кибепреступника.

Соединившись с удаленным сервером, троянец способен выполнять массу неприятных вещей. В частности он может заблокировать исходящие звонки, переслать список контактов, показать список установленных на смартфоне приложений, удалить любое из них или добавить новое. Более того, с помощью Android.Spy.40.origin кибепреступник сможет читать всю вашу СМС-переписку, или инициировать отправку сообщений с заранее заданным текстом.

Естественно, что возможности данной троянской программы пугают. Ведь любые конфиденциальные данные из текстовых сообщений, банковские реквизиты, пароли и банковские mTAN-коды могут стать известными злоумышленникам и тогда вся личная жизнь владельца телефона пойдет «под откос». Списки контактов, попав в руки киберпреступникам, могут стать отличным инструментом для СМС-спама и массовых фишинговых атак по выуживанию учетных данных пользователей.

Огромной проблемой на пути борьбы с Android.Spy.40.origin является возможность его скрытой работы. Этого удалось достичь благодаря использованию уязвимости в операционной системе Android. То есть, антивирусные программы просто не могут обнаружить вредоносный код троянца. Причиной такого поведения является злополучный бит специального поля General purpose bit flag, которое находится в заголовке архивного файла apk (он же zip). Троянец меняет его таким образом, чтобы антивирусная программа считала все содержимое вредоносного пакета зашифрованным. В результате данный apk-файл не сканируется, несмотря на присутствие в коде сигнатур с признаками вредоносного модуля.

Быстро разобравшись с данным алгоритмом маскировки нового троянца, специалисты «Доктор Веб» внесли изменения в свой антивирусный продукт и отныне все действия Android.Spy.40.origin не пройдут незамеченными. Теперь любые попытки использования данной уязвимости на платформе Android не возымеют действия, поскольку Dr.Web будет детектировать их на самой ранней стадии. Но… владельцам Android-устройств не стоит забывать о простых правилах безопасности и избегать установки неизвестных приложений, особенно скачанных по ссылкам из СМС-сообщений.