Рубрикатор |
Все новости | Новости отрасли |
Опасный Android-троянец «прячется» от антивирусов
18 марта 2015 |
Новая вредоносная программа для ОС Android, получившая имя Android.Titan.1, предназначена для атаки на южнокорейских пользователей и распространяется киберпреступниками с применением рассылки нежелательных СМС-сообщений.
В отправляемых злоумышленниками СМС говорится о якобы задерживающейся доставке некоего почтового отправления, а также указывается ссылка, переход по которой предполагает получение подробных сведений о возникшей «проблеме». В действительности же эта ссылка ведет на одну из страниц популярного облачного сервиса хранения данных, где вирусописатели разместили троянца Android.Titan.1. Если потенциальные жертвы попытаются посетить указанный веб-адрес, вместо ознакомления с ожидаемой информацией на их мобильные устройства будет автоматически загружен apk-файл вредоносного приложения. Однако для того, чтобы данный троянец заразил операционную систему, неосторожные пользователи должны самостоятельно выполнить его установку.После успешной инсталляции Android.Titan.1 помещает на главный экран мобильного устройства свой ярлык и ждет, когда владелец зараженного Android-смартфона или планшета собственноручно запустит троянца. При первом успешном старте вредоносного приложения этот ярлык удаляется, а вредоносная программа продолжает свою работу в скрытом режиме. Одновременно с этим из памяти устройства стирается последний СМС-диалог жертвы, который в большинстве случаев будет представлен тем самым спам-сообщением, благодаря которому троянец и попал на целевое устройство. В дальнейшем Android.Titan.1 функционирует уже без участия пользователя и самостоятельно начинает свою активность, загружаясь вместе с операционной системой.
Android.Titan.1 осуществляет свою деятельность при помощи нескольких вредоносных системных сервисов, запускаемых троянцем в процессе его работы. В частности, один из них проверяет, является ли Android.Titan.1 менеджером сообщений по умолчанию, и, если это не так, пытается изменить соответствующие системные настройки.
Затем троянец ожидает появления доступа к сети Интернет, после чего соединяется с управляющим сервером и загружает на него подробные сведения о зараженном мобильном устройстве, включая название модели, информацию о версии установленной операционной системы, сетевом подключении, MAC-адресе устройства, IMEI- и IMSI-идентификаторах, а также номере телефона жертвы.
В ответ от сервера вредоносная программа может получить одну из следующих команд:
- запустить сервис, выполняющий поиск и завершение работы всех процессов, относящихся к приложению com.kakao.talk;
- запустить сервис, выполняющий подмену телефонных номеров в адресной книге мобильного устройства;
- изменить параметры вызовов устройства (беззвучный, вибровызов или обычный), а также задать уровень громкости сигнала вызова;
- запустить сервис, предназначенный для отправки СМС-сообщения с заданными в команде параметрами;
- запустить сервис, предназначенный для совершения телефонного звонка на заданный номер (при выполнении звонка экран устройства блокируется аналогично блокировке в режиме ожидания);
- отправить на сервер информацию о сохраненных в телефонной книге контактах (загружаются имена и соответствующие им номера телефонов);
- запустить сервис, предназначенный для демонстрации в панели уведомлений заданного сообщения и сопровождающего его изображения.
Благодаря наличию у Android.Titan.1 возможности выполнения скрытого звонка, а также периодическому отслеживанию активности экрана зараженного устройства, злоумышленники способны отдать троянцу команду на выполнение вызова, когда зараженный смартфон или планшет долгое время находится в режиме ожидания. При этом сразу после начала телефонного разговора экран вновь блокируется, в результате чего у пользователя не должно возникнуть никаких подозрений о совершаемом без его ведома нежелательном звонке.
Android.Titan.1 способен отслеживать все входящие СМС-сообщения и скрывать от пользователя те из них, которые удовлетворяют заданным вирусописателями критериям. При этом на управляющий сервер передаются подробные сведения обо всех принятых СМС, включая информацию об отправителе, дате и времени отправки, а также их содержимом. В случае если отправка этой информации невозможна, вредоносная программа помещает полученные данные в специальную базу, хранящуюся на устройстве локально, после чего ожидает подключения к сети, чтобы загрузить на сервер поставленную в очередь информацию.
Кроме этого, Android.Titan.1 обладает еще одной опасной функцией. Каждую минуту он проверяет, не совершается ли пользователем телефонный звонок, и, если это так, начинает скрытую запись разговора в amr-файл, сохраняя полученный результат в своем рабочем каталоге. В дальнейшем данный файл вместе с подробной информацией о звонках пользователя загружается на удаленный сервер, а в случае отсутствия интернет-соединения ставится в очередь, как в случае с перехваченными СМС-сообщениями. Также троянец может блокировать входящие или исходящие звонки с определенных номеров, отвечать на вызовы и удалять информацию о них из системного журнала.
Главная особенность данного троянца заключается в том, что его основной функционал реализован в виде отдельной Unix-библиотеки (детектируется как Android.Titan.2), в то время как у большинства известных вредоносных программ для ОС Android он обычно находится в стандартном исполняемом dex-файле. В случае с Android.Titan.1 dex-файл используется лишь в качестве вспомогательного компонента, в котором содержатся минимально необходимые функции для работы троянца. Подобный прием при создании вредоносных Android-приложений встречается достаточно редко, и благодаря нему многие антивирусные программы зачастую просто не в состоянии обнаружить опасное приложение.
По мнению вирусных аналитиков компании «Доктор Веб», Android.Titan.1 все еще находится в стадии разработки, поскольку он содержит ряд ошибок и часть его функционала остается незадействованной. В этой связи нельзя исключать появления еще более функциональной версии этого опасного вредоносного приложения в будущем.
Специалисты компании «Доктор Веб» оповестили службу поддержки облачного сервиса, на котором был размещен троянец, и в настоящий момент страница, с которой происходила его загрузка, уже недоступна. Тем не менее, ничто не мешает злоумышленникам повторно разместить троянца на этом или другом подобном ресурсе. Антивирус Dr.Web для Android и Антивирус Dr.Web для Android Light успешно детектируют и удаляют троянца Android.Titan.1, поэтому пользователи мобильных антивирусных решений компании «Доктор Веб» находятся под надежной защитой.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Читайте также:
Группа вымогателей Cuba атакует с помощью новых вредоносных программ
В России появилась платформа для запуска Android-приложений в ОС «Аврора»
За 4,5 месяца отражено почти 100 тысяч атак на малый и средний бизнес в России
Троян-загрузчик осуществляет многоступенчатое заражение Windows-компьютеров
Злоумышленники выманивают доступ к онлайн-банкингу с помощью поддельных приложений
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.