Троянець, що використовує нову уразливість, поширюється через каталог додатків для Android

Троянець, що використовує нову уразливість, поширюється через каталог додатків для Android

Троянець, що використовує нову уразливість, поширюється через каталог додатків для Android

Компанія «Доктор Веб» виявила першу шкідливу Android-програму, для поширення якої використовується відома з недавнього часу вразливість Master Key. Android.Nimefas.1.origin здатний відправляти СМС-повідомлення, передавати зловмисникам конфіденційну інформацію користувачів, а також дозволяє віддалено виконувати ряд команд на інфікованому мобільному пристрої. На даний момент троянець поширюється у великій кількості ігор і додатків, доступних для завантаження в одному з китайських онлайн-каталогів додатків для Android. Проте, не виключено, що найближчим часом число експлуатуючих уразливість Master Key шкідливих програм збільшиться, і, відповідно, розшириться географія поширення загрози.

З того моменту, як інформація про уразливість Master Key стала надбанням громадськості, більшість фахівців з інформаційної безпеки були впевнені, що рано чи пізно зловмисники неодмінно скористаються знайденої в ОС Android лазівкою, адже з технічної точки зору використання цієї програмної помилки не становить ніякої складності. І дійсно, менш ніж через місяць після розкриття деталей даної уразливості вже з’явилася експлуатуюча її шкідлива програма.

Виявлений троянець поширюється в Android-додатках у вигляді модифікованого кіберзлочинцями dex-файлу і розташований поруч з оригінальним dex-файлом програми. Нагадаємо, що уразливість Master Key полягає в особливостях обробки встановлюваних додатків одним з компонентів ОС Android: у разі, якщо apk-пакет містить в одному підкаталозі два файли з однаковим ім’ям, операційна система перевіряє цифровий підпис першого файлу, але встановлює другий файл, перевірка якого не здійснювалася. Таким чином, обходиться захисний механізм, що перешкоджає інсталяції програми, модифікованого третіми особами.

Запустившись на інфікованому мобільному пристрої, троянець, в першу чергу, перевіряє, активна чи хоча б одна зі служб, що належать ряду китайських антивірусних програм. У разі якщо хоча б одна з них виявляється, Android.Nimefas.1.origin визначає наявність root-доступу шляхом пошуку файлів “/ system / xbin / su” або “/ system / bin / su”. Якщо такі файли присутні, троянець припиняє роботу. Якщо ж жодна з наведених умов не виконується, шкідлива програма продовжує функціонувати.

Зокрема, Android.Nimefas.1.origin виконує відправку ідентифікатора IMSI на один номер, обираний випадковим чином на підставі наявного списку.

Далі троянець виробляє СМС-розсилку по всіх контактах, що містяться в телефонній книзі інфікованого мобільного пристрою. Текст для цих повідомлень завантажується з віддаленого сервера. Інформація про використані для розсилки контактах потім передається на цей же сервер. Шкідлива програма здатна відправляти і довільні СМС-повідомлення на різні номери. Необхідна для цього інформація (текст повідомлень та номери телефонів) береться з керуючого вузла.

Троянець здатний також приховувати від користувача вхідні повідомлення. Відповідний фільтр за номером або тексту прийнятих СМС завантажується з керуючого центру зловмисників.

В даний час віддалений сервер, використовуваний кіберзлочинцями для управління шкідливою програмою, вже не функціонує.

Залишити коментар

Ваша електронна адреса не буде опублікована.Обов'язкові поля позначені *

*