Обнаружен очень сложный Android-троянец

Специалисты по антивирусной безопасности говорят об обнаружении ранее неизвестного троянца, использующего уязвимость в операционной системе Androidinfo-icon. Новый вредонос задействует технику, которая используется вредоносами, создаваемыми под Windows для сокрытия собственного присутствия в системе.



В "Лаборатории Касперского" рассказали об обнаружении нового вредоносного кода Backdoor.AndroidOS.Obad.a. По словам антивирусных аналитиков, выявленный код является одним из самых сложных на сегодняшний день. Код создан для отправки SMS на премиум-номера и позволяет атакующим исполнять шпионские команды на зараженных устройствах, открывая фоновую shell-оболочку, сообщает cybersecurity.ru.

Атакующие могут использовать этот код для кражи широкого диапазона данных, хранящихся на скомпрометированных устройствах, или для загрузки дополнительных вредоносных программ, причем код может подгружать дополнительные коды в том числе и через порт Bluetooth. В "Лаборатории Касперского" говорят, что вредонос использует стойкий алгоритм шифрования и сокрытия кода для затруднения анализа. "Авторы вредоносных программ, как правило, пытаются максимально усложнить свой код, чтобы антивирусные компании как можно дольше анализировали разработку. Однако у Odad.a код действительно сложный для анализа, он превосходит другие мобильные вредоносы", - говорит Роман Унучек, эксперт "Лаборатории Касперского".

Создатели Backdoor.AndroidOS.Obad.a нашли ошибку в популярной программе dex2jar, которая обычно используется аналитиками для конвертирования APK-файла в более удобный для работы формат JavaArchive (JAR). Обнаруженная злоумышленниками уязвимость  нарушает процесс конвертации Dalvik байт-кода в Java байт-код, что в итоге затрудняет статический анализ троянца.

Также злоумышленниками была найдена ошибка в OCAndroid, связанная с обработкой AndroidManifest.xml. Этот файл встречается в каждом Android-приложении и используется для описания структуры приложения, определения параметров его запуска и т.д.  Вирусописатели модифицировали AndroidManifest.xml таким образом, что тот не соответствовал заданному Googleinfo-icon стандарту, но при этом, благодаря найденной уязвимости, правильно обрабатывался на смартфоне. В результате динамический анализ троянца крайне затруднен.

Создатели Backdoor.AndroidOS.Obad.a использовали еще одну неизвестную ранее ошибку в ОС Android, которая позволяет вредоносному приложению пользоваться расширенными правами DeviceAdministrator, но при этом отсутствовать в списке приложений, обладающих такими правами. В результате удалить со смартфона вредоносную программу, получившую расширенные права, невозможно. Наконец, Backdoor.AndroidOS.Obad.a не имеет интерфейса и работает в фоновом режиме, говорят в компании.

Набор команд для Obad.a позволяет зловреду распространять файлы по Bluetooth. С сервера приходит адрес файла, который должен быть скачан на зараженное устройство. После скачивания файла по очередной команде с сервера вредоносное приложение определяет ближайшие устройства с включенным Bluetooth и пытается передать им загруженный файл.

Несмотря на такие внушительные возможности, Backdoor.AndroidOS.Obad.a не очень распространен. По данным KasperskySecurityNetwork за три дня наблюдений на его заблокированные установки приходится не более 0,15% всех попыток заражения мобильных устройств различными вредоносными программами.

Подпишитесь
в Facebook

Я уже с вами