Android-троянец в СМС-сообщениях

Как сообщила компания «Доктор Веб», в начале ноября ее специалисты обнаружили одну из популярных сейчас вредоносных программ с функционалом СМС-червей. Эта угроза, внесенная в вирусную базу Dr.Web под именем Android.Wormle.1.origin, представляет собой многофункционального бота с широкими возможностями. Он способен по команде злоумышленников отправлять СМС, удалять установленные программы и файлы пользователей, красть конфиденциальную информацию, атаковать сайты и выполнять на зараженном устройстве множество других нежелательных действий.

После установки троянец не создает ярлык на главном экране ОС и функционирует на зараженном устройстве в качестве системного сервиса с именем com.driver.system.

Android.Wormle.1.origin устанавливает соединение с командным центром, после чего ожидает поступления указаний. Управлять ботом можно как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging – сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google.

Функционал данного троянца весьма обширен. В частности, бот способен выполнить следующие действия:

• отправить СМС-сообщение с заданным текстом на один или несколько номеров, указанных в команде;
• разослать СМС-сообщение c заданным текстом по всем номерам из телефонной книги;
• занести в черный список определенный телефонный номер, чтобы заблокировать поступающие с него СМС-сообщения и звонки;
• выполнить USSD-запрос (номер, с которого планируется получить ответ на произведенный запрос, заносится в черный список в соответствии с отданной командой, чтобы заблокировать получение пользователем ответных сообщений);
• переслать на управляющий сервер информацию обо всех полученных СМС-сообщениях и совершенных звонках;
• включить диктофонную запись, либо остановить ее, если запись уже ведется;
• получить информацию об учетных записях, привязанных к зараженному устройству;
• получить информацию об установленной версии ОС и всех приложениях, о хранящихся на карте памяти файлах и каталогах;
• получить информацию о телефонном номере жертвы, мобильном операторе, стране, в которой зарегистрирована SIM-карта, списке контактов;
• удалить заданный файл или каталог, а также указанное в команде приложение (для этого троянец демонстрирует специально сформированное диалоговое окно, призванное заставить пользователя выполнить удаление);
• удалить все хранящиеся на устройстве СМС-сообщения;
• загрузить на управляющий сервер zip-архив, содержащий указанный в команде файл или каталог;
• выполнить DDoS-атаку на указанный в команде веб-ресурс;
• установить связь с управляющим сервером, используя специальные параметры, изменить адрес управляющего сервера;
• очистить черный список номеров.

Таким образом, с помощью Android.Wormle.1.origin киберпреступники могут решать самые разные задачи, начиная с рассылки платных СМС-сообщений и кражи конфиденциальных данных и заканчивая организацией DDoS-атак. Его функционал также позволяет злоумышленникам получить доступ к банковским счетам пользователей.

Android.Wormle.1.origin реализует функционал СМС-червя, распространяясь среди владельцев Android-устройств при помощи СМС-сообщений, содержащих ссылку на загрузку копии вредоносной программы. Подобные сообщения рассылаются по всем телефонным номерам из книги контактов пользователей, поэтому за короткий промежуток времени Android.Wormle.1.origin способен заразить множество мобильных устройств, которые включаются в бот-сеть. Статистика, полученная специалистами «Доктор Веб», показывает, что на данный момент вредоносная программа успела инфицировать более 14 тыс. Android-смартфонов и планшетов, принадлежащих пользователям из более чем 20 стран, причем более 90% инфицированных мобильных устройств находится в России.

Запись для детектирования выявленной угрозы была внесена в вирусную базу компании, в ее продуктах Антивирус Dr.Web для Android и Антивирус Dr.Web для Android Light реализована защита от нового троянца.