Спецпроекты

Безопасность Пользователю Телеком B2B

Новый троян использует уязвимость Android для кражи конфиденциальных данных

Компания «Доктор Веб» сообщила о появлении нового Android-трояна, предназначенного для кражи у южнокорейских пользователей их конфиденциальных сведений. По своему функционалу он схож с аналогичными вредоносными программами, однако при его создании злоумышленники использовали уязвимость операционной системы Android, позволяющую обойти проверку антивирусными программами, что увеличивает потенциальный риск для владельцев Android-устройств, рассказали CNews в компании.

Новый троян, добавленный в вирусную базу Dr.Web как Android.Spy.40.origin, распространяется среди южнокорейских пользователей при помощи нежелательных SMS-сообщений, содержащих ссылку на apk-файл. В настоящий момент это один из самых популярных методов, который используется киберпреступниками в Юго-Восточной Азии (преимущественно в Южной Корее и Японии) для распространения вредоносного ПО для ОС Android, указали в «Доктор Веб». После установки и запуска Android.Spy.40.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства, а затем удаляет свой значок с главного экрана, скрытно продолжая свою работу.

Далее троян соединяется с удаленным сервером, откуда получает дальнейшие указания. В частности, Android.Spy.40.origin способен выполнить следующие действия: начать перехват входящих SMS и загрузку их содержимого на сервер (от пользователя эти сообщения скрываются); блокировать исходящие звонки; отправить на сервер список контактов или список установленных приложений; удалить или установить определенное приложение, указанное в поступившей команде; отправить SMS на заданный в команде номер с указанным текстом.

Увеличить

По мнению специалистов «Доктор Веб», эта вредоносная программа может представлять серьезную угрозу для пользователей, так как в перехватываемых ею SMS-сообщениях может содержаться конфиденциальная информация, включающая как личную, так и деловую переписку, сведения о банковских реквизитах, а также одноразовые mTAN-коды, предназначенные для защиты совершаемых финансовых операций. Кроме того, полученный киберпреступниками список контактов впоследствии может быть использован для организации массовых SMS-рассылок и фишинг-атак.

Однако главной особенностью Android.Spy.40.origin является использование уязвимости ОС Android, которая позволяет вредоносной программе избежать детектирования существующими антивирусными решениями, подчеркнули в компании. Для этого злоумышленники внесли в apk-файл трояна специальные изменения (apk-файл является стандартным zip-архивом, имеющим другое расширение).

Согласно спецификации формата zip, заголовок архива для каждого из находящихся в нем файлов имеет специальное поле General purpose bit flag. Установленный нулевой бит этого поля указывает на то, что файлы в архиве зашифрованы (защищены паролем). Иными словами, несмотря на фактическое отсутствие пароля, при значении этого бита равным 1 архив должен обрабатываться как защищенный.

Увеличить

Как видно на изображении выше, в нормальных условиях при попытке распаковки такого zip-файла выдается соответствующее предупреждение о необходимости ввода пароля, однако в случае с ОС Android алгоритм обработки подобных архивов имеет ошибку и заданный нулевой бит игнорируется, что позволяет выполнить установку программы, пояснили в «Доктор Веб». В отличие от операционной системы, имеющей данную уязвимость, различные антивирусные приложения должны корректно обрабатывать поле General purpose bit flag, считая файл защищенным при помощи пароля и не сканируя его даже в том случае, если запись о содержащемся в apk-пакете вредоносном файле имеется в вирусной базе.

Специалисты «Доктор Веб» оперативно внесли в функционал антивируса Dr.Web для Android необходимые изменения, поэтому вредоносные программы, использующие описанный выше метод, успешно им детектируются. Тем не менее, пользователям Android-устройств настоятельно рекомендуется соблюдать повышенную осторожность и не устанавливать подозрительные приложения, а также не переходить по ссылкам, полученным в нежелательных SMS-сообщениях.

В настоящий момент основная «зона обитания» нового трояна — Южная Корея, однако в будущем его возможные модификации вполне могут начать распространяться и в других странах, полагают в компании.

Татьяна Короткова

Короткая ссылка