Компания «Доктор Веб» сообщила о появлении нового Android-троянца, получившего в компании обозначение Android.Spy.40.origin.  Основной ареал обитания зловреда — Южная Корея, что обусловлено методом его распространения. Ссылка на apk-файл  рассылается на смартфоны южнокорейских пользователей с помощью вредоносных SMS-сообщений. Это очень популярный способ распространения вредоносного ПО. Функциональность нового зловреда тоже достаточно типична — он предназначен для хищения персональных данных пользователя устройства.

После установки на Android-устройство зловред запрашивает доступ к правам администратора, что хорошо работает против пользователя, склонного бездумно тыкать кнопку «Согласен» на все запросы мобильника. Иконка приложения удаляется с главного экрана (хотя в списке приложений зловред отображается), и оно продолжает работу в фоновом режиме, незаметно для пользователя. По данным исследователей, новинка умеет выполнять следующие действия:

  • Перехватывать входящие SMS и скрывать их от пользователя.
  • Блокировать возможность совершения исходящих вызовов.
  • Отправлять на свой C&C-сервер список контактов пользователя и список установленных на устройство приложений.
  • Устанавливать и удалять приложения по команде C&C-сервера.
  • Рассылать по команде сервера SMS-сообщения с произвольным текстом на произвольные номера.

Потенциально троянец представляет крайне серьезную угрозу конфиденциальности данных пользователя и даже сохранности его финансов — перехватываться могут реквизиты платежных операций и одноразовые пароли, присылаемые банком или платежными системами. Похищенные же таким способом списки контактов чаще всего оказываются в базах спамеров и используются для фишинга и массовых SMS-рассылок.

Главным ноу-хау разработчиков зловреда является оригинальный метод защиты от обнаружения антивирусами. Для этого используется уязвимость Android, основанная на том, что apk-файлы, с помощью которых распространяются все приложения под эту ОС, по сути своей являются zip-архивами. Согласно спецификации формата zip, в заголовке архива имеются битовые флаги, обозначающие шифрованность (запароленность) файлов в архиве. Если флаги установлены, файл в архиве должен обрабатываться как шифрованный, даже несмотря на отсутствие пароля.

Обычный zip-архиватор при попытке распаковать такой архив запросит у пользователя пароль, а антивирусная программа просто не станет его сканировать. В то же время установщик программ Android не проверяет состояние данного флага, что позволяет Android.Spy.40.origin, в apk-файле которого эти флаги установлены, без проблем устанавливаться на устройстве, но избегать антивирусного сканирования.

По заявлению исследователей, на данный момент существующие мобильные антивирусы не способны противостоять новому зловреду. Пока разработчики не внесли необходимые изменения в алгоритмы работы антивирусов, пользователям рекомендуется с особой осторожностью открывать ссылки, присланные в SMS-сообщениях, даже если они были получены со знакомых номеров.

 

Изображение любезно предоставлено Pascal Maramis.

Категории: Вредоносные программы, Главное