УправлениеБезопасность

Очередной троянец для Android

| 02.08.2013

Очередной троянец для Android

Компания «Доктор Веб» обнаружила первую вредоносную Android-программу, для распространения которой используется известная с недавнего времени уязвимость Master Key.

Компания «Доктор Веб» обнаружила первую вредоносную Android-программу, для распространения которой используется известная с недавнего времени уязвимость Master Key. Android.Nimefas.1.origin способен отправлять СМС-сообщения, передавать злоумышленникам конфиденциальную информацию пользователей, а также позволяет удаленно выполнять ряд команд на инфицированном мобильном устройстве. На данный момент троянец распространяется в большом количестве игр и приложений, доступных для загрузки в одном из китайских онлайн-каталогов приложений для Android. Тем не менее, не исключено, что в ближайшее время число эксплуатирующих уязвимость Master Key вредоносных программ увеличится, и, соответственно, расширится география распространения угрозы.

С того момента, как информация об уязвимости Master Key стала достоянием общественности, большинство специалистов по информационной безопасности были уверены, что рано или поздно злоумышленники непременно воспользуются найденной в ОС Android лазейкой, ведь с технической точки зрения использование этой программной ошибки не составляет никакой сложности. И действительно, менее чем через месяц после раскрытия деталей данной уязвимости уже появилась эксплуатирующая ее вредоносная программа.

Обнаруженный троянец, добавленный в вирусную базу Dr.Web под именем Android.Nimefas.1.origin, распространяется в Android-приложениях в виде модифицированного киберпреступниками dex-файла и располагается рядом с оригинальным dex-файлом программы. Напомним, что уязвимость Master Key заключается в особенностях обработки устанавливаемых приложений одним из компонентов ОС Android: в случае, если apk–пакет содержит в одном подкаталоге два файла с одинаковым именем, операционная система проверяет цифровую подпись первого файла, но устанавливает второй файл, проверка которого не производилась. Таким образом, обходится защитный механизм, препятствующий инсталляции приложения, модифицированного третьими лицами.

На изображении ниже продемонстрирован пример одной из инфицированных Android.Nimefas.1.origin программ:

img

Запустившись на инфицированном мобильном устройстве, троянец, в первую очередь, проверяет, активна ли хотя бы одна из служб, принадлежащих ряду китайских антивирусных приложений.

В случае если хотя бы одна из них обнаруживается, Android.Nimefas.1.origin определяет наличие root-доступа путем поиска файлов "/system/xbin/su" или "/system/bin/su". Если такие файлы присутствуют, троянец прекращает работу. Если же ни одно из приведенных условий не выполняется, вредоносная программа продолжает функционировать.

В частности, Android.Nimefas.1.origin выполняет отправку идентификатора IMSI на один номеров, выбираемый случайным образом на основании имеющегося списка.

Далее троянец производит СМС-рассылку по всем контактам, содержащимся в телефонной книге инфицированного мобильного устройства. Текст для этих сообщений загружается с удаленного сервера. Информация об использованных для рассылки контактах затем передается на этот же сервер. Вредоносная программа способна отправлять и произвольные СМС-сообщения на различные номера. Необходимая для этого информация (текст сообщений и номера телефонов) берется с управляющего узла.

Троянец способен также скрывать от пользователя входящие сообщения. Соответствующий фильтр по номеру или тексту принимаемых СМС загружается с управляющего центра злоумышленников.

В настоящее время удаленный сервер, используемый киберпреступниками для управления вредоносной программой, уже не функционирует.

На данный момент троянец Android.Nimefas.1.origin представляет наибольшую опасность для китайских пользователей, т.к. распространяется в большом количестве игр и приложений, доступных для загрузки на одном из китайских веб-сайтов - сборников ПО. Его представители уже оповещены о данной проблеме. Тем не менее, не исключено, что в ближайшее время число эксплуатирующих уязвимость Master Key вредоносных программ увеличится, и, соответственно, расширится география распространения угрозы. До тех пор, пока производители мобильных Android-устройств не выпустят соответствующее обновление операционной системы, закрывающее данную уязвимость, многие пользователи могут пострадать от подобных вредоносных приложений. Учитывая, что множество представленных на рынке устройств уже не поддерживается производителями, их владельцы рискуют остаться и вовсе без защиты.

Все пользователи антивирусных продуктов Dr.Web для Android надежно защищены от Android.Nimefas.1.origin: троянец успешно детектируется при помощи технологии Origins TracingTM. Кроме того, apk-файл, содержащий данную вредоносную программу, определяется антивирусом Dr.Web как Exploit.APKDuplicateName.

Источник: Пресс-служба компании «Доктор Веб»

Рынок ПО Информационная безопасность

Журнал:


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.
Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Юникон & гейм экспо минск / unicon & game expo minsk
Минск, пр. Победителей, 20/2 (футбольный манеж)
14.05.2021 — 16.05.2021
12:00
SAS Global Forum 2021
ОНЛАЙН
18.05.2021 — 20.05.2021