Троян, использующий уязвимость Master Key, распространяется через каталог приложений для Android

- КиТ :: Будь в СЕТИ!

Компания «Доктор Веб» обнаружила первую вредоносную Android-программу, для распространения которой используется известная с недавнего времени уязвимость Master Key

Как рассказали CNews в компании, обнаруженный троян, добавленный в вирусную базу Dr.Web под именем Android.Nimefas.1.origin, способен отправлять SMS-сообщения, передавать злоумышленникам конфиденциальную информацию пользователей, а также позволяет удаленно выполнять ряд команд на инфицированном мобильном устройстве. На данный момент троян распространяется в большом количестве игр и приложений, доступных для загрузки в одном из китайских онлайн-каталогов приложений для Android. Тем не менее, не исключено, что в ближайшее время число эксплуатирующих уязвимость Master Key вредоносных программ увеличится, и, соответственно, расширится география распространения угрозы, полагают в «Доктор Веб».

По словам экспертов компании, троян распространяется в Android-приложениях в виде модифицированного киберпреступниками dex-файла и располагается рядом с оригинальным dex-файлом программы.

«Уязвимость Master Key заключается в особенностях обработки устанавливаемых приложений одним из компонентов ОС Android: в случае, если apk–пакет содержит в одном подкаталоге два файла с одинаковым именем, операционная система проверяет цифровую подпись первого файла, но устанавливает второй файл, проверка которого не производилась, — пояснили в компании. — Таким образом, обходится защитный механизм, препятствующий инсталляции приложения, модифицированного третьими лицами».


Пример одной из инфицированных Android.Nimefas.1.origin программ

Запустившись на инфицированном мобильном устройстве, троян, в первую очередь, проверяет, активна ли хотя бы одна из служб, принадлежащих ряду китайских антивирусных приложений. В случае если хотя бы одна из них обнаруживается, Android.Nimefas.1.origin определяет наличие root-доступа путем поиска файлов «/system/xbin/su» или «/system/bin/su». Если такие файлы присутствуют, троян прекращает работу. Если же ни одно из приведенных условий не выполняется, вредоносная программа продолжает функционировать.

В частности, Android.Nimefas.1.origin выполняет отправку идентификатора IMSI на один номеров, выбираемый случайным образом на основании имеющегося списка. Далее троян производит SMS-рассылку по всем контактам, содержащимся в телефонной книге инфицированного мобильного устройства. Текст для этих сообщений загружается с удаленного сервера. Информация об использованных для рассылки контактах затем передается на этот же сервер. Вредоносная программа способна отправлять и произвольные SMS-сообщения на различные номера. Необходимая для этого информация (текст сообщений и номера телефонов) берется с управляющего узла, рассказали в компании.

Примечательно, что троян способен скрывать от пользователя входящие сообщения. Соответствующий фильтр по номеру или тексту принимаемых SMS загружается с управляющего центра злоумышленников.

По данным «Доктор Веб», в настоящее время удаленный сервер, используемый киберпреступниками для управления вредоносной программой, уже не функционирует.

Все пользователи антивирусных продуктов Dr.Web для Android защищены от Android.Nimefas.1.origin: троян успешно детектируется при помощи технологии Origins TracingTM. Кроме того, apk-файл, содержащий данную вредоносную программу, определяется антивирусом Dr.Web как Exploit.APKDuplicateName, отметили в компании.

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg