Стало известно о появлении нового зловреда, атакующего Android-устройства. По свидетельству Heimdal Security, Mazar BOT способен получить root-доступ к смартфону, стереть данные, а также превратить устройство в часть ботнета. Впервые зловред был замечен в прошлом году на теневом рынке, но в этот раз эксперты зафиксировали его использование в активной хакерской кампании.

В отличие от многих других Android-зловредов, традиционно обитающих в недрах неофициальных магазинов приложений, Mazar избрал другой путь: он распространяется через SMS/MMS-сообщения, которые содержат ссылку на вредоносный APK-файл. Если скачать этот файл, на смартфоне объявится вредоносное приложение, которое не должно вызвать подозрений у несведущих пользователей: называется оно MMS Messaging.

Запросив права администратора, Mazar начинает хозяйничать на устройстве: он может читать и отправлять SMS, звонить на другие номера, отслеживать состояние смартфона, менять настройки, регистрировать нажатия клавиатуры, принудительно отправлять аппарат в спящий режим, получать доступ в Интернет. Кроме того, код Mazar может быть внедрен в Chrome. Зловред очень упорен, и перезагрузка не поможет от него избавиться. Это довольно обширный список вредоносных характеристик, но самой неприятной из них является его способность удалять файлы пользователя из памяти.

Исследователи из Heimdal рассказывают, как в одном случае Mazar BOT самостоятельно загрузил легитимное приложение Tor для Android для того, чтобы «гулять» по Интернету анонимно и без ведома пользователя. Установив Tor, Mazar посылает на номер телефона (судя по коду страны, иранский) сообщение «Thank you». Это сообщение помогает отслеживать местоположение устройства — таким образом злоумышленник, стоящий за кампанией, получает уведомление, что вирус нашел новую жертву и подключил ее к ботнету. В некоторых случаях Mazar устанавливает прокси под названием Mazar Proxy, что, в свою очередь, дает возможность перехватывать веб-трафик и проводить MitM-атаки.

Как отметили исследователи, несмотря на то что в схеме фигурирует иранский номер, комментарии к исходному коду содержат инструкции на случай, если заражаемый смартфон принадлежит россиянину (то есть использует русский язык по умолчанию). Эксперты подозревают, что за созданием зловреда стоят русские хакеры: бытует мнение, что обычно они стараются не атаковать соотечественников, чтобы не привлекать внимание правоохранительных органов РФ.

Категории: Аналитика, Вредоносные программы