Опасный Android-троянец «прячется» от антивирусов
Новости Мобильная жизнь
Специалисты компании «Доктор Веб» исследовали нового многофункционального троянца, предназначенного для заражения мобильных Android-устройств. По команде злоумышленников это вредоносное приложение способно красть различные конфиденциальные данные, отправлять СМС-сообщения, совершать телефонные звонки, а также выполнять множество других опасных действий.
Главная особенность данного троянца, получившего название Android.Titan.1, заключается в том, что его основной функционал реализован в виде отдельной Unix-библиотеки (детектируется как Android.Titan.2), в то время как у большинства известных вредоносных программ для ОС Android он обычно находится в стандартном исполняемом dex-файле. В случае с Android.Titan.1 dex-файл используется лишь в качестве вспомогательного компонента, в котором содержатся минимально необходимые функции для работы троянца. Подобный прием при создании вредоносных Android-приложений встречается достаточно редко, и благодаря нему многие антивирусные программы зачастую просто не в состоянии обнаружить опасное приложение.
Вредоносная программа Android.Titan.1 предназначена для атаки на южнокорейских пользователей и распространяется киберпреступниками с применением рассылки нежелательных СМС-сообщений. В отправляемых злоумышленниками СМС говорится о якобы задерживающейся доставке некоего почтового отправления, а также указывается ссылка, переход по которой предполагает получение подробных сведений о возникшей «проблеме». В действительности же эта ссылка ведет на одну из страниц популярного облачного сервиса хранения данных, где вирусописатели разместили троянца Android.Titan.1. Если потенциальные жертвы попытаются посетить указанный веб-адрес, вместо ознакомления с ожидаемой информацией на их мобильные устройства будет автоматически загружен apk-файл вредоносного приложения. Однако для того, чтобы данный троянец заразил операционную систему, неосторожные пользователи должны самостоятельно выполнить его установку.
После успешной инсталляции Android.Titan.1 помещает на главный экран мобильного устройства свой ярлык и ждет, когда владелец зараженного Android-смартфона или планшета собственноручно запустит троянца. При первом успешном старте вредоносного приложения этот ярлык удаляется, а вредоносная программа продолжает свою работу в скрытом режиме. Одновременно с этим из памяти устройства стирается последний СМС-диалог жертвы, который в большинстве случаев будет представлен тем самым спам-сообщением, благодаря которому троянец и попал на целевое устройство. В дальнейшем Android.Titan.1 функционирует уже без участия пользователя и самостоятельно начинает свою активность, загружаясь вместе с операционной системой.
screen screen
Android.Titan.1 осуществляет свою деятельность при помощи нескольких вредоносных системных сервисов, запускаемых троянцем в процессе его работы. В частности, один из них проверяет, является ли Android.Titan.1 менеджером сообщений по умолчанию, и, если это не так, пытается изменить соответствующие системные настройки.
Затем троянец ожидает появления доступа к сети Интернет, после чего соединяется с управляющим сервером и загружает на него подробные сведения о зараженном мобильном устройстве, включая название модели, информацию о версии установленной операционной системы, сетевом подключении, MAC-адресе устройства, IMEI- и IMSI-идентификаторах, а также номере телефона жертвы.
Благодаря наличию у Android.Titan.1 возможности выполнения скрытого звонка, а также периодическому отслеживанию активности экрана зараженного устройства, злоумышленники способны отдать троянцу команду на выполнение вызова, когда зараженный смартфон или планшет долгое время находится в режиме ожидания. При этом сразу после начала телефонного разговора экран вновь блокируется, в результате чего у пользователя не должно возникнуть никаких подозрений о совершаемом без его ведома нежелательном звонке.
Android.Titan.1 способен отслеживать все входящие СМС-сообщения и скрывать от пользователя те из них, которые удовлетворяют заданным вирусописателями критериям. При этом на управляющий сервер передаются подробные сведения обо всех принятых СМС, включая информацию об отправителе, дате и времени отправки, а также их содержимом. В случае если отправка этой информации невозможна, вредоносная программа помещает полученные данные в специальную базу, хранящуюся на устройстве локально, после чего ожидает подключения к сети, чтобы загрузить на сервер поставленную в очередь информацию.
Кроме этого, Android.Titan.1 обладает еще одной опасной функцией. Каждую минуту он проверяет, не совершается ли пользователем телефонный звонок, и, если это так, начинает скрытую запись разговора в amr-файл, сохраняя полученный результат в своем рабочем каталоге. В дальнейшем данный файл вместе с подробной информацией о звонках пользователя загружается на удаленный сервер, а в случае отсутствия интернет-соединения ставится в очередь, как в случае с перехваченными СМС-сообщениями. Также троянец может блокировать входящие или исходящие звонки с определенных номеров, отвечать на вызовы и удалять информацию о них из системного журнала.
По мнению вирусных аналитиков, Android.Titan.1 все еще находится в стадии разработки, поскольку он содержит ряд ошибок и часть его функционала остается незадействованной. В этой связи нельзя исключать появления еще более функциональной версии этого опасного вредоносного приложения в будущем.
16.04.2024 12:33
Касперский представил смартфон на KasperskyOS
Глава «Лаборатории Касперского» Евгений Касперский представил смартфон от российского разработчика мобильных устройств «Аквариус» с операционной системой KasperskyOS
|
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone