Перейти к содержанию
AM_Bot

Android.MMarketPay.origin: троянец-шопоголик из Китая

Recommended Posts

AM_Bot

18 июля 2012 года

Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении нового троянца, поражающего мобильные устройства под управлением ОС Android. Вредоносная программа представляет опасность для абонентов китайского оператора связи China Mobile: инфицировав мобильное устройство, Android.MMarketPay.origin осуществляет покупку приложений в электронном магазине оператора, что существенно сокращает средства на счету абонента.

Следуя современным тенденциям, оператор China Mobile имеет в своем распоряжении электронный магазин под названием Mobile Market, который содержит как платный, так и бесплатный контент. Mobile Market функционирует вполне стандартным способом: при совершении покупки сервисная система отправляет абоненту специальный код, который необходимо ввести для подтверждения операции. Это служит мерой предосторожности, например, от случайного или ошибочного приобретения. Стоимость контента в дальнейшем списывается непосредственно с мобильного счета пользователя.

Главная цель новой вредоносной программы Android.MMarketPay.origin — бесконтрольное приобретение платных приложений в этом магазине. Троянец выполняет все действия автоматически, перехватывая необходимые проверочные коды и подтверждая совершение покупок. Эта вредоносная программа могла быть создана как для увеличения прибыли недобросовестных разработчиков приложений, так и в целях навредить абонентам China Mobile и имиджу самого оператора.

Android.MMarketPay.origin распространяется в модифицированных злоумышленниками Android-программах, которые доступны для загрузки на различных китайских форумах и в каталогах приложений. Для сравнения ниже показаны функции, к которым будет иметь доступ программа после установки (слева — оригинал, справа — измененная злоумышленниками версия):

pic.png

Для совершения покупок в магазине Mobile Market пользователь должен быть в нем зарегистрирован и авторизован, однако если мобильное устройство подключено к Интернету через сотовую сеть оператора China Mobile, ввод аутентификационных данных для работы не требуется. Именно поэтому среди функций у модифицированной программы можно встретить возможность изменения настроек APN: внося соответствующие корректировки в параметры системы, троянец может сразу приступать к покупкам.

Доступ к работе с СМС-сообщениями необходим троянцу для перехвата кодов подтверждения. Ко всему прочему, Android.MMarketPay.origin также может обходить проверочные изображения captcha, отправляя их на специальный сервер для анализа.

Компания «Доктор Веб» призывает владельцев мобильных Android-устройств быть бдительными и устанавливать приложения только из надежных источников. Пользователи антивирусных продуктов Dr.Web для Android защищены от действия этой вредоносной программы.

Источник

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Судя по последним "новостям" из "горячей" ленты Доктор продолжает находится в глубокой контузии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×