Перейти к содержанию
AM_Bot

Android.AntaresSpy.1 следит за владельцами мобильных устройств на базе Android

Recommended Posts

AM_Bot

9 августа 2011 года

Компания «Доктор Веб» — ведущий российский разработчик средств информационной безопасности — сообщает о появлении новой угрозы для мобильной платформы Android: троянской программы Android.AntaresSpy.1, способной отслеживать GPS-координаты перемещений пользователя, а также перехватывать его личные данные.

Как и многие его предшественники, троянец Android.AntaresSpy.1 маскируется под легитимную программу — приложение, демонстрирующее картинки и видеофайлы категории «для взрослых». Эта вредоносная программа распространяется в файле с именем xxx.apk с нескольких сайтов-сборников бесплатного ПО для Android. После установки приложение создает на съемной карте памяти устройства папку /sdcard/xxxgallery/, устанавливает соединение с удаленным сайтом, откуда загружается все демонстрируемое программой содержимое, и пытается получить доступ к персональным данным пользователя.

AAS1_img_1_200.jpg

AAS1_img_2_200.jpg

Android.AntaresSpy.1 собирает информацию о GPS-координатах пользователя мобильного устройства, а также крадет сделанные им фотографии и отправленные сообщения СМС. Помимо этого троянец отслеживает и записывает в файл весь текст, набираемый на виртуальной клавиатуре. Поскольку с использованием Android.AntaresSpy.1 злоумышленники могут получить доступ к персональным данным, троянец может представлять собой серьезную угрозу для владельцев устройств, работающих под управлением мобильной ОС Android.

В настоящий момент сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Вы можете защитить себя от этого вредоносного ПО, установив на свое мобильное устройство Dr.Web для Android Антивирус + Антиспам или Dr.Web для Android Light.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED

Уже как бэ поднадоели перлы о Dr.Web в новостях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      в списке сигнатур, в данном случае 2-3 десятка записей с именем Win32/Adware.ConvertAd, а файл, который попал под детект данной сигнатуры, детектируется на VT как  NSIS/CoinMiner. захотел переименовать сигнатуру, а какую именно - не определить наугад :). ------- т.е. понятно, что переименоваться должна не строка в инфо, а запись в signs, и как следствие, потом уже и отображение названия в Инфо будет новое.
    • demkd
      такого нет, можно конечно сделать, но не ясно зачем
    • santy
      demkd, есть такая возможность,  из окна инфо, в поле сигнатура вызвать форму для переименования сигнатуры? (с учетом того, что сигнатур с одинаковыми именами может быть много, поэтому для редактирования должна быть открыта нужная запись) т.е. вызвать эту форуму:
    • santy
      у меня все шесть файликов сразу попали в подозрительные и вирусы при открытии образа. (без добавления новых сигнатур). тот случай, когда образы автозапуска нужны не только для того, чтобы писать по ним скрипты, но и для пополнения баз сигнатур и правил, т.е. чтобы использовать заложенные в программе возможности к самообучению.  
    • PR55.RP55
      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
×