Очередной Android-троянец

--> Дата: Ноя 6, 2013 34

Компания «Доктор Веб» сообщила о появлении нового троянца, действующего в среде Android и предназначенного для кражи конфиденциальных сведений пользователей. Пока он обнаруживается в Южной Корее, но в будущем его модификации вполне могут начать распространяться и в других странах. По своему функционалу троянец схож с аналогичными вредоносными программами, однако при его создании злоумышленники использовали уязвимость ОС Android, которая позволяет обойти проверку антивирусными программами, что существенно увеличивает потенциальный риск для владельцев устройств.

Новый троянец, добавленный в вирусную базу Dr.Web как Android.Spy.40.origin, распространяется среди южнокорейских пользователей при помощи СМС-сообщений, содержащих ссылку на apk-файл (это один из самых популярных методов, используемых киберпреступниками в Юго-Восточной Азии для распространения вредоносного ПО для Android). После установки и запуска Android.Spy.40.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства, а затем удаляет свой значок с главного экрана, скрытно продолжая работу.

Далее троянец соединяется с удаленным сервером, откуда получает дальнейшие указания. В частности, Android.Spy.40.origin способен перехват входящих СМС и загрузку их содержимого на сервер (от пользователя эти сообщения скрываются), блокировать исходящие звонки, отправить на сервер список контактов или список установленных приложений, удалить или установить приложение, указанное в поступившей команде, отправить СМС на заданный в команде номер с указанным текстом.

Вредоносная программа может представлять серьезную угрозу для пользователей, поскольку в перехватываемых ею СМС-сообщениях может содержаться конфиденциальная информация, включающая личную и деловую переписку, сведения о банковских реквизитах, одноразовые коды, предназначенные для защиты совершаемых финансовых операций. Список контактов, полученный с устройства, впоследствии может использоваться для организации массовых СМС-рассылок и фишинг-атак.

Главная же особенность Android.Spy.40.origin – использование уязвимости ОС Android, которая позволяет вредоносному ПО избежать детектирования антивирусными решениями. Для этого в apk-файл троянца были внесены специальные изменения (apk-файл – это стандартный zip-архив с другим расширением).

Согласно спецификации формата zip, заголовок архива для каждого из файлов в нем имеет специальное поле General purpose bit flag. Установленный нулевой бит этого поля указывает на то, что файлы в архиве защищены паролем, т.е даже при фактическом отсутствии пароля при значении этого бита равным 1 архив должен обрабатываться как защищенный. В нормальных условиях при попытке распаковки такого zip-файла выдается предупреждение о необходимости ввода пароля, однако в случае с Android алгоритм обработки подобных архивов имеет ошибку: заданный нулевой бит игнорируется, что позволяет выполнить установку программы. В отличие от ОС различные антивирусные приложения должны корректно обрабатывать поле General purpose bit flag, считая файл защищенным при помощи пароля и не сканируя его даже в том случае, если запись о содержащемся в apk-пакете вредоносном файле имеется в вирусной базе.

В функционал антивируса Dr.Web для Android внесены необходимые изменения, позволяющие ему детектировать вредоносные программы, использующие описанный выше метод.