7 сентября 2010

Andriod. Новый SMS троян проникает незаметно

6 сентября 2010 года произошло знаменательное событие, которое перевернуло представление о безопасности платформы Android и способах распространения вредоносного ПО для этой платформы.
Как и все события меняющие мир, произошло это событие буднично: один молодой человек налаживал у себя дома новую точку доступа wi-fi и попросил свою жену проверить доступность сети на телефоне Desire. Супруга выполняя его просьбу зашла на новостной сайт. Там её заинтересовала ссылка на новость стороннего ресурса, потом следующая новость, за ней другая. Словом, начался привычный сёрфинг по сети интернет, пока вдруг браузер не сообщил «Началась загрузка» и вслед за этим появилось предложение на установку какого-то приложения. Супруга нашего героя совсем не легкомысленная женщина, «Откуда это? Ведь я ничего не устанавливала» сказала она, обратившись к мужу.
Так был зафиксирован первый случай нового типа распространения вредоносного ПО для платформы Android.

Разбор полётов

Распространение:
— по партнёрской программе на различных сайтах размещаются рекламные ссылки
— при заходе по этим ссылкам с помощью декстопного браузера пользователь увидит обыкновенный ресурс сомнительного содержания.
— если пользователь совершит переход по ссылке с помощью мобильного браузера OС Android произойдёт подмена адреса и начнётся автоматическое скачивание приложения (размером 16,44 КБ), при этом пользователь останется на предыдущем сайте с ощущением, что ссылка просто не сработала.

Андроид загрузка вируса

Вредоносный файл в папке загрузок браузера

— по окончании загрузки пользователю будет выдан запрос на установку приложения. Тут необходимо сочетание двух факторов: разрешение в настройках телефона устанавливать приложения из неизвестных источников и неопытность пользователя. Констатируем, что два этих фактора часто встречаются в дикой природе.

установка вредоносного ПО

Окно установки вредоносного ПО

Функционал:
При запуске приложения, представляющегося порно-плеером с красноречивой картинкой, пользователь видит сообщение «Идет получения персонального ключа…». В этот момент с телефона жертвы отсылается множество SMS на платные номера мобильных сервисов.

Надо отметить, что это слегка модифицированный Android.SmsSend.1 (по классификации компании Доктор Веб) добавленный в антивирусные базы 5 августа 2010 г.
Также автор вредоносного ПО из России, об этом говорят короткие номера SMS и строчка в коде приложения на русском языке, правда с орфографической ошибкой.

Выводы

Впервые зафиксирован новый способ распространения вредоносного ПО — используя подложные ссылки.
Впервые использована потенциальная брешь в безопасности стандартного браузера ОС Android — автоматический старт закачки файлов, без подтверждения пользователем.
7 сентября 2010 года новое вредоносное приложение добавлено в базы антивируса Dr.Web под именем Android.SmsSend.2

Злоумышленникам выгодно писать вредоносное ПО под платформу Android — это и простота написания кода, и простота распространения, и главное быстрый, солидный финансовый доход. В связи с этим, мы уверены, это не последний Android.SmsSend.

Всё только начинается.

Читайте также