Byte/RE ИТ-издание

Новые троянцы для платформы Android

Компания «Доктор Веб» сообщила о появлении новых вредоносных программ для ОС Android, ориентированных на мобильные устройства, использующие систему с повышенными привилегиями.

Новые троянцы распространяются злоумышленниками вместе с легитимными приложениями через популярные сайты – сборники ПО. Механизм их работы основан на принципе «матрешки»: модифицированное приложение (детектируется Dr.Web как Android.MulDrop.origin.3) содержит другой программный пакет (apk-файл), который зашифрован. Фактически первое приложение является дроппером – контейнером для доставки других вредоносных программ.

Немаловажно, что создатели троянца в качестве основы для дроппера выбрали определенный тип приложений: системные утилиты, конфигураторы и т. д. Для работы большинства из них требуются права администратора, поэтому когда после запуска такое приложение запрашивает root-доступ, пользователь может ничего не заподозрить.

В случае успешного получения необходимых привилегий Android.MulDrop.origin.3 расшифровывает скрытый в нем apk-файл и помещает его в системный каталог (/system/app/ под именем ComAndroidSetting.apk). Как ни удивительно, но это приложение, добавленное в вирусные базы как Android.MulDrop.origin.4, также является дроппером. Как и Android.MulDrop.origin.3, он содержит зашифрованный apk-пакет. Троянец активируется после очередного запуска системы, расшифровывает и устанавливает скрытый внутри него программный пакет, который, в свою очередь, является троянцем-загрузчиком (детектируется как Android.DownLoader.origin.2).

Android.DownLoader.origin.2 также имеет функцию автозапуска. После старта системы он соединяется с удаленным сервером и получает список приложений, которые ему необходимо загрузить и установить. В этом списке могут находиться как другие вредоносные программы, так и безобидные приложения.

Ранее специалисты «Доктор Веб» обнаружили другую версию дроппера. Как и Android.MulDrop.origin.3, Android.MulDrop.origin.2 распространяется на сайтах – сборниках ПО, но действует иначе: после запуска пытается поместить на карту памяти спрятанный внутри него зашифрованный apk-файл, который предварительно расшифровывает. Одновременно с этим он демонстрирует в панели уведомлений сообщение, содержащее фразу «Android Patch 8.2.3». Если пользователь нажмет на это сообщение, запустится стандартный процесс установки, однако из-за ошибки, допущенной авторами дроппера, он не способен записать необходимый пакет на карту памяти, поэтому установка становится невозможной.

Проведенный анализ показал, что дроппер Android.MulDrop.origin.2 был создан теми же авторами, что и Android.MulDrop.origin.3. Можно предположить, что Android.MulDrop.origin.2 был пробой пера злоумышленников и служил тестовой платформой для обкатки их технологий.

Вам также могут понравиться