• Авторизация
Дневник Александр397 Лента друзей - Дневник - Полная версия


Опасный Android-троянец «прячется» от антивирусов 18-03-2015 13:44 к комментариям - к полной версии - понравилось!

Это цитата сообщения Mishail_valdai Оригинальное сообщение

Опасный Android-троянец «прячется» от антивирусов

Специалисты компании «Доктор Веб» исследовали нового многофункционального троянца, предназначенного для заражения мобильных Android-устройств. По команде злоумышленников это вредоносное приложение способно красть различные конфиденциальные данные, отправлять СМС-сообщения, совершать телефонные звонки, а также выполнять множество других опасных действий.

Новая вредоносная программа для ОС Android, получившая имя Android.Titan.1, предназначена для атаки на южнокорейских пользователей и распространяется киберпреступниками с применением рассылки нежелательных СМС-сообщений. В отправляемых злоумышленниками СМС говорится о якобы задерживающейся доставке некоего почтового отправления, а также указывается ссылка, переход по которой предполагает получение подробных сведений о возникшей «проблеме». В действительности же эта ссылка ведет на одну из страниц популярного облачного сервиса хранения данных, где вирусописатели разместили троянца Android.Titan.1. Если потенциальные жертвы попытаются посетить указанный веб-адрес, вместо ознакомления с ожидаемой информацией на их мобильные устройства будет автоматически загружен apk-файл вредоносного приложения. Однако для того, чтобы данный троянец заразил операционную систему, неосторожные пользователи должны самостоятельно выполнить его установку.

[показать]

После успешной инсталляции Android.Titan.1 помещает на главный экран мобильного устройства свой ярлык и ждет, когда владелец зараженного Android-смартфона или планшета собственноручно запустит троянца. При первом успешном старте вредоносного приложения этот ярлык удаляется, а вредоносная программа продолжает свою работу в скрытом режиме. Одновременно с этим из памяти устройства стирается последний СМС-диалог жертвы, который в большинстве случаев будет представлен тем самым спам-сообщением, благодаря которому троянец и попал на целевое устройство. В дальнейшем Android.Titan.1 функционирует уже без участия пользователя и самостоятельно начинает свою активность, загружаясь вместе с операционной системой.

[показать] [показать]

Android.Titan.1 осуществляет свою деятельность при помощи нескольких вредоносных системных сервисов, запускаемых троянцем в процессе его работы. В частности, один из них проверяет, является ли Android.Titan.1менеджером сообщений по умолчанию, и, если это не так, пытается изменить соответствующие системные настройки.

Затем троянец ожидает появления доступа к сети Интернет, после чего соединяется с управляющим сервером и загружает на него подробные сведения о зараженном мобильном устройстве, включая название модели, информацию о версии установленной операционной системы, сетевом подключении, MAC-адресе устройства, IMEI- и IMSI-идентификаторах, а также номере телефона жертвы.

В ответ от сервера вредоносная программа может получить одну из следующих команд:

    /st.drweb.com/static/new-www/2010/li.gif" target="_blank">http://st.drweb.com/static/new-www/2010/li.gif); padding-left: 17px; line-height: 17px; color: rgb(70, 70, 70); font-family: Verdana, Geneva, Arial, Helvetica, sans-serif; font-size: 11px;">
  • запустить сервис, выполняющий поиск и завершение работы всех процессов, относящихся к приложению com.kakao.talk;
  • запустить сервис, выполняющий подмену телефонных номеров в адресной книге мобильного устройства;
  • изменить параметры вызовов устройства (беззвучный, вибровызов или обычный), а также задать уровень громкости сигнала вызова;
  • запустить сервис, предназначенный для отправки СМС-сообщения с заданными в команде параметрами;
  • запустить сервис, предназначенный для совершения телефонного звонка на заданный номер (при выполнении звонка экран устройства блокируется аналогично блокировке в режиме ожидания);
  • отправить на сервер информацию о сохраненных в телефонной книге контактах (загружаются имена и соответствующие им номера телефонов);
  • запустить сервис, предназначенный для демонстрации в панели уведомлений заданного сообщения и сопровождающего его изображения.

    • Благодаря наличию у Android.Titan.1 возможности выполнения скрытого звонка, а также периодическому отслеживанию активности экрана зараженного устройства, злоумышленники способны отдать троянцу команду на выполнение вызова, когда зараженный смартфон или планшет долгое время находится в режиме ожидания. При этом сразу после начала телефонного разговора экран вновь блокируется, в результате чего у пользователя не должно возникнуть никаких подозрений о совершаемом без его ведома нежелательном звонке.

    Android.Titan.1 способен отслеживать все входящие СМС-сообщения и скрывать от пользователя те из них, которые удовлетворяют заданным вирусописателями критериям. При этом на управляющий сервер передаются подробные сведения обо всех принятых СМС, включая информацию об отправителе, дате и времени отправки, а также их содержимом. В случае если отправка этой информации невозможна, вредоносная программа помещает полученные данные в специальную базу, хранящуюся на устройстве локально, после чего ожидает подключения к сети, чтобы загрузить на сервер поставленную в очередь информацию.

    Кроме этого, Android.Titan.1 обладает еще одной опасной функцией. Каждую минуту он проверяет, не совершается ли пользователем телефонный звонок, и, если это так, начинает скрытую запись разговора в amr-файл, сохраняя полученный результат в своем рабочем каталоге. В дальнейшем данный файл вместе с подробной информацией о звонках пользователя загружается на удаленный сервер, а в случае отсутствия интернет-соединения ставится в очередь, как в случае с перехваченными СМС-сообщениями. Также троянец может блокировать входящие или исходящие звонки с определенных номеров, отвечать на вызовы и удалять информацию о них из системного журнала.

    Главная особенность данного троянца заключается в том, что его основной функционал реализован в виде отдельной Unix-библиотеки (детектируется как Android.Titan.2), в то время как у большинства известных вредоносных программ для ОС Android он обычно находится в стандартном исполняемом dex-файле. В случае с Android.Titan.1 dex-файл используется лишь в качестве вспомогательного компонента, в котором содержатся минимально необходимые функции для работы троянца. Подобный прием при создании вредоносных Android-приложений встречается достаточно редко, и благодаря нему многие антивирусные программы зачастую просто не в состоянии обнаружить опасное приложение.

    По мнению вирусных аналитиков компании «Доктор Веб», Android.Titan.1 все еще находится в стадии разработки, поскольку он содержит ряд ошибок и часть его функционала остается незадействованной. В этой связи нельзя исключать появления еще более функциональной версии этого опасного вредоносного приложения в будущем.

    Специалисты компании «Доктор Веб» оповестили службу поддержки облачного сервиса, на котором был размещен троянец, и в настоящий момент страница, с которой происходила его загрузка, уже недоступна. Тем не менее, ничто не мешает злоумышленникам повторно разместить троянца на этом или другом подобном ресурсе. Антивирус Dr.Web для Android и Антивирус Dr.Web для Android Light успешно детектируют и удаляют троянца Android.Titan.1, поэтому пользователи мобильных антивирусных решений компании «Доктор Веб» находятся под надежной защитой.

    http://news.drweb.ru/show/?c=5&i=9337&lng=ru

    вверх^ к полной версии понравилось! в evernote


    Вы сейчас не можете прокомментировать это сообщение.

    Дневник Опасный Android-троянец «прячется» от антивирусов | Александр397 - Дневник aleksandr | Лента друзей Александр397 / Полная версия Добавить в друзья Страницы: раньше»