Symantec нашла мобильный вирус, борющийся с пиратством

Николай Головко 31 Марта 2011 - 08:29

...

Антивирусные эксперты компании выявили интересный образец вредоносного программного обеспечения для платформы Android, который пытается отучить пользователей от привычки загружать и устанавливать пиратские копии платных приложений.

Ссылки на инсталляционный пакет "продукта" можно найти на некоторых файлообменных серверах Северной Америки и Азии, где он распространяется под видом взломанной версии решения Walk and Text от компании Incorporate Apps. Настоящая программа является коммерческой и доступна для приобретения в магазине Android Market за 1 доллар США или 1 евро в зависимости от страны, однако привычки некоторых пользователей Сети не позволяют им покупать приложения даже по столь скромной цене.

После загрузки, установки и запуска вирус, получивший наименование Android.Walkinwat, изображает в пользовательском интерфейсе "процесс взлома программы", в то время как на самом деле выполняемые им действия имеют совершенно иной характер. Во-первых, продукт пытается извлечь некоторые сведения о владельце (имя, телефонный номер, уникальный идентификатор устройства IMEI) и отослать их на удаленный сервер, а во-вторых - инициирует отправку SMS-сообщений с определенным текстом на все номера, имеющиеся в списке контактов. Текст этот после исправления разнообразных ошибок и вольного перевода на русский язык выглядит примерно следующим образом:

"Привет! Я только что загрузил из Интернета пиратскую версию программы Walk and Text для Android. Я сделал это потому, что я глуп и жаден: программа стоит всего один доллар. Не повторяй моих ошибок - не воруй!"

По завершении всех операций вирус отображает пользователю уведомление о нелицензионности, в котором создатели инфекции выражают надежду, что этот случай хотя бы чему-то научит незадачливого "пирата". Пользователю также предлагают проверить состояние телефонного счета и советуют купить подлинное приложение в магазине Android Market.

Аналитики Symantec отмечают в корпоративном блоге, что само по себе такое явление - "антипиратский вирус" - не представляет чего-то принципиально нового и беспрецедентного, однако в области угроз для мобильных устройств они регистрируют подобное приложение впервые.

Письмо автору

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 03 Февраля 2026 - 19:42

Windows Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Авторы атак через апдейтер Notepad++ все время меняли цепочку заражения

В «Лаборатории Касперского» изучили данные телеметрии об атаках с использованием обновлений Notepad++ и пришли к выводу, что за три месяца злодеи как минимум трижды переписывали заново схему заражения.

Изменялось все: используемые IP-адреса, домены, хеши файлов с полезной нагрузкой. Во всех случаях в финале на Windows-машину жертвы устанавливался маячок Cobalt Strike, обеспечивающий удаленный доступ атакующим.

В поле зрения других специалистов по ИБ попал и был обнародован лишь один порядок доставки вредоносов под видом апдейта Notepad++. Новое исследование расширило список известных индикаторов компрометации, и потенциальные жертвы заражения теперь могут провести более тщательную проверку своих активов.

«Тем, кто уже проверил свои системы по известным IoC и ничего не нашёл, не стоит думать, что угрозы нет, — предупреждает эксперт Kaspersky GReAT Георгий Кучерин. — Поскольку злоумышленники часто меняли инструменты, нельзя исключать, что существуют и иные цепочки заражения, которые пока ещё не выявлены».

На настоящий момент выявлены несколько мишеней, заинтересовавших авторов атаки на Notepad++ (все попытки заражения пресечены):