Троянец в приложениях для Android

Компания «Доктор Веб» объявила, что обнаружила первую вредоносную Android-программу, для распространения которой используется известная с недавнего времени уязвимость Master Key. Android.Nimefas.1.origin способен отправлять СМС-сообщения, передавать злоумышленникам конфиденциальную информацию пользователей, позволяет удаленно выполнять ряд команд на инфицированном мобильном устройстве. Троянец распространяется в большом количестве игр и приложений, доступных для загрузки в одном из китайских онлайн-каталогов приложений для Android. Он добавлен в вирусную базу Dr.Web под именем Android.Nimefas.1.origin

Как отмечают в «Доктор Веб», вредоносная программа, эксплуатирующая уязвимость Master Key, появилась менее чем через месяц после раскрытия деталей данной уязвимости. Действительно, с технической точки зрения использование этой программной ошибки не составляет никакой сложности.

Обнаруженный троянец распространяется в Android-приложениях в виде модифицированного киберпреступниками dex-файла и располагается рядом с оригинальным dex-файлом программы. Как известно, уязвимость Master Key заключается в особенностях обработки устанавливаемых приложений одним из компонентов Android: в случае, если apk–пакет содержит в одном подкаталоге два файла с одинаковым именем, ОС проверяет цифровую подпись первого файла, но устанавливает второй файл, проверка которого не производилась. Таким образом обходится защитный механизм, препятствующий инсталляции приложения, модифицированного третьими лицами.

Запустившись на инфицированном мобильном устройстве, троянец проверяет, активна ли хотя бы одна из служб, принадлежащих ряду китайских антивирусных приложений. Если хотя бы одна из них обнаруживается, Android.Nimefas.1.origin определяет наличие root-доступа путем поиска файлов /system/xbin/su или /system/bin/su. Если они присутствуют, троянец прекращает работу. Если же ни одно из приведенных условий не выполняется, вредоносная программа продолжает функционировать.

В частности, Android.Nimefas.1.origin выполняет отправку идентификатора IMSI на один номеров, выбираемый случайным образом на основании имеющегося списка. Далее троянец производит СМС-рассылку по всем контактам телефонной книги инфицированного мобильного устройства. Текст для этих сообщений загружается с удаленного сервера. Информация об использованных для рассылки контактах затем передается на этот же сервер. Вредоносная программа способна отправлять и произвольные СМС-сообщения на различные номера. Необходимая для этого информация (текст сообщений и номера телефонов) берется с управляющего узла (сейчас удаленный сервер, используемый киберпреступниками для управления вредоносной программой, уже не функционирует). Троянец способен также скрывать от пользователя входящие сообщения. Соответствующий фильтр по номеру или тексту принимаемых СМС загружается с управляющего центра злоумышленников.

На данный момент троянец Android.Nimefas.1.origin представляет наибольшую опасность для китайских пользователей. Тем не менее не исключено, что в ближайшее время число эксплуатирующих уязвимость Master Key вредоносных программ увеличится и, соответственно, расширится география распространения угрозы.

Троянец Android.Nimefas.1.origin успешно детектируется при помощи технологии Origins Tracing; apk-файл, содержащий эту вредоносную программу, определяется антивирусом Dr.Web как Exploit.APKDuplicateName.