Ilya Shabanov
01.09.2014, 19:06
В начале августа специалистами по информационной безопасности была обнаружена очередная атака, нацеленная на китайских пользователей мобильных Android-устройств и организованная с целью похищения конфиденциальной информации и незаконной рассылки СМС-сообщений. Для этого киберпреступники начали распространение троянского приложения Android.SmsSend.1404.origin, которое выполняло сразу несколько вредоносных функций. В частности, после своего запуска оно проверяло, установлен ли на мобильном устройстве другой Android-троянец (Android.SmsBot.146.origin по классификации компании «Доктор Веб»), и, если он отсутствовал в системе, предлагало выполнить его инсталляцию под видом некоего важного программного дополнения.
https://ci5.googleusercontent.com/proxy/xtVZcaJPVXvQ6v9IzA9zM7Je_PpKZBt5pLYxa8_dtIYVDJmSRq c24-nkzo3pO-pHCjoRtH3YL6Z48LUU887hgMK0o6Rpm1vPQyQD_puTUP67Ld-Ov14wtgK0pYYTagg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/01_smssend_0_ru.1.png (http://st.drweb.com/static/new-www/news/2014/august/01_smssend_0_ru.png)
https://ci3.googleusercontent.com/proxy/SpiGUIWnNH4giN-QMUxgkVMIdEa82ugUGyHMUvRm2AL-VPu9waJrbHwCOSgjzy9jWm8Eq67vG36PAHf1y1Iw-d_ho8F7y4_8i5BYKWD-vXAmBUpllWs04wh3qDY=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/02_smssend_1.1.png (http://st.drweb.com/static/new-www/news/2014/august/02_smssend_1.png)
https://ci3.googleusercontent.com/proxy/2yIdUeVmE_cZNkg6gdT2_ClUILK2GcJXKq0UtQGX9yCsxDkf58 bBKAb9C_N1IkCdzcxNsmMeEEgIxOvW_0xop2rH3Z6qh2kn0il8 j3v_b6Jcu8ZbaxVQtYNqYJk=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/03_smssend_2.1.png (http://st.drweb.com/static/new-www/news/2014/august/03_smssend_2.png)
После этого Android.SmsSend.1404.origin предлагал пользователю-жертве ввести в специальную форму ряд конфиденциальных сведений, которые затем передавались злоумышленникам. Кроме того, троянец без ведома владельца мобильного устройства рассылал по всем найденным в телефонной книге контактам СМС-сообщения со ссылкой на загрузку своей копии, тем самым реализуя традиционный для СМС-червей функционал и увеличивая масштабы распространения данной угрозы.
https://ci3.googleusercontent.com/proxy/cGlLCDt-s33LEgjx3kYgVQZnai7uvNzlmAVPi4yRzkP8YQkJf73D5uCy0L vCeXe7M93MG7Ts1WmZZu7ht6zZh7aE_4Gyf2282gzRlUmZL-M7nUgbEWpICCMTpLcZ-50=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/04_smssend_3_ru.1.png (http://st.drweb.com/static/new-www/news/2014/august/04_smssend_3_ru.png)
https://ci4.googleusercontent.com/proxy/-al_OizfPbsBl-fxeV-e38AQZ1EiegNISaHotK41DIQ2fGtpqCK-GJ4gYxvPuC3BYMgRMXoRXN2fFJaeZoZ6EYRlRPTIM5vUEkMqKf uEMR9EWWJtt_aWggMdD0c=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/05_smssend_4.1.png (http://st.drweb.com/static/new-www/news/2014/august/05_smssend_4.png)
Устанавливаемый этой вредоносной программой компонент является представителем распространенного семейства троянцев-ботов, выполняющих по команде злоумышленников определенные действия. В частности, этот бот способен отправлять различные СМС, а также перехватывать все поступающие на инфицированное устройство короткие сообщения.
https://ci3.googleusercontent.com/proxy/BJ8EjBsjDJIduKEUYxqk2ZYwRcbz_NiRYwy4Iavg5N-fqOsrknfprc5i_iF0Fol-IkqR0oL7KHDS0nv24pyh2qqZML0ujGS1SrSSqW8bUDvtUUQrUW M0E-tLx1A=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/06_smssend_5.1.png (http://st.drweb.com/static/new-www/news/2014/august/06_smssend_5.png)
В прошедшем месяце были зафиксированы новые случаи появления троянцев-блокировщиков семейства Android.Locker (http://vms.drweb.com/search/?q=Android.Locker), затрудняющих работу с зараженными мобильными устройствами. В августе одной из наиболее заметных угроз такого типа стал троянец Android.Locker.27.origin, о котором компания «Доктор Веб» сообщала (http://news.drweb.com/show/?i=5889) ранее. Данная вредоносная программа распространялась киберпреступниками под видом антивирусного приложения и, как и другие подобные вымогатели, блокировала Android-устройства и требовала выкуп за их разблокировку. Однако благодаря особенностям реализованного в этом троянце механизма проверки платежа пострадавшие от действия вымогателя пользователи могли легко и совершенно бесплатно избавиться от этой неприятной угрозы. В частности,Android.Locker.27.origin проверял, состоит ли вводимый код оплаты из 14 цифр и не содержит ли определенных цифровых комбинаций. Если эти условия выполнялись, троянец снимал блокировку, после чего инициировал свое удаление.
https://ci4.googleusercontent.com/proxy/JXrTwD3GEwmzPFRcqx4K5zkOarujAHT1VJsTMPEaMqvVBJZKRv SWpZuAFOucGLNWh3kK3EJovPZdRV0RzwgW00H11RW72yZVjuEg sokCFPJCmOP1EXZkoayoGA=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/07_locker_1.1.png (http://st.drweb.com/static/new-www/news/2014/august/07_locker_1.png)
https://ci4.googleusercontent.com/proxy/P2ZCshIlcWSaDhnc5Gs1A97Lsdbjv6MEOKFsxt5IKU48dqfbtp xADIvpiFo1TZ-LeXCZTHF8aoJYemxi07TIfOBPM1agjRNQbLrjjwB0jJ7ALfNop DhVzTrkhw=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/08_locker_2.1.png (http://st.drweb.com/static/new-www/news/2014/august/08_locker_2.png)
https://ci6.googleusercontent.com/proxy/Qzoc5cu6pN7Ug2GTwT7MTXlUELe7Q4VSN6U7k29zbDHwbbNIi9 Kum6zmh50qKAOLqhkCyTHVLDlG8cxB0bXTzdy5gxoN9UHk0eiP _DRuJgbWyM2GWf-5kvZDwg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/09_locker_3.1.png (http://st.drweb.com/static/new-www/news/2014/august/09_locker_3.png)
В августе вновь были зафиксированы случаи распространения различных Android-троянцев, предназначенных для атаки на южнокорейских пользователей. Как и прежде, главным методом распространения этих угроз стали нежелательные СМС-рассылки, организованные киберпреступниками. В течение месяца специалистами компании «Доктор Веб» было отмечено более 100 подобных спам-кампаний, при этом с их помощью наибольшее распространение получили такие вредоносные приложения как Android.Banker.28.origin (http://vms.drweb.com/search/?q=Android.Banker.28.origin) (26,21%), Android.SmsBot.121.origin(23,30%), Android.SmsSpy.78.origin (15,54%) и Android.MulDrop.14.origin (9,71%).
https://ci6.googleusercontent.com/proxy/iXRVEhOTtevujbK3NyrP3vibO3VIv8Nmpw7me6voYF8Weoexem kwjuBfpjTth0GRghbjVnDEPJDJTsspi9tvrxoWVrXP0HBlUIjA QOu_8RjrkaMvoLB37R1Y1A=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/10_korea_ru.1.png (http://st.drweb.com/static/new-www/news/2014/august/10_korea_ru.png)
Несмотря на то, что распространение мобильных Android-троянцев с применением СМС-спама уже давно является стандартной практикой для многих киберпреступников, другие методы доставки вредоносных программ на мобильные устройства пользователей также не остаются без внимания. Например, в прошедшем месяце специалистами по информационной безопасности была зафиксирована массовая спам-рассылка сообщений электронной почты, которые содержали ссылку на загрузку опасного Android-троянца Android.Backdoor.96.origin. Данная вредоносная программа представляет собой бэкдор, распространяющийся под видом антивирусного приложения и способный выполнять различные действия по команде злоумышленников.
https://ci6.googleusercontent.com/proxy/8SKlitzY-LkIKH5ck8O7qtNUrmvYHWtZhS8795XLWh1iJXLFVPOi0fnYNkj-ZcmMtAn6d2eeLRCq6s6pAaCKAHnONv5Iio8trPJArYxldg6-5dTpGzzsxsu6CZGMLwg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/11_backdoor96_1.1.png (http://st.drweb.com/static/new-www/news/2014/august/11_backdoor96_1.png)
https://ci3.googleusercontent.com/proxy/e5BiWLa3zhUUYk9d-ID91Vd8aeYcwluQGrOiiglcJfAeYKeQEVluzEBx9WHq0eTidbX kFos5ryiReuUt5UqGnodxChYkz3Nhy20sGuu_uKKdaJ7G6DNJ5 vmF_NsO_Gg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/12_backdoor96_2.1.png (http://st.drweb.com/static/new-www/news/2014/august/12_backdoor96_2.png)
В частности, троянец может красть различную конфиденциальную информацию, такую как СМС-сообщения, список контактов, историю веб-браузера, отслеживать GPS-координаты зараженного мобильного устройства, автоматически активировать встроенный микрофон для прослушивания окружения, выполнять USSD-запросы, демонстрировать на экране различные сообщения, а также записывать все совершаемые звонки в аудиофайлы, которые вместе с прочими данными загружаются на сервер злоумышленников.
https://ci5.googleusercontent.com/proxy/xtVZcaJPVXvQ6v9IzA9zM7Je_PpKZBt5pLYxa8_dtIYVDJmSRq c24-nkzo3pO-pHCjoRtH3YL6Z48LUU887hgMK0o6Rpm1vPQyQD_puTUP67Ld-Ov14wtgK0pYYTagg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/01_smssend_0_ru.1.png (http://st.drweb.com/static/new-www/news/2014/august/01_smssend_0_ru.png)
https://ci3.googleusercontent.com/proxy/SpiGUIWnNH4giN-QMUxgkVMIdEa82ugUGyHMUvRm2AL-VPu9waJrbHwCOSgjzy9jWm8Eq67vG36PAHf1y1Iw-d_ho8F7y4_8i5BYKWD-vXAmBUpllWs04wh3qDY=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/02_smssend_1.1.png (http://st.drweb.com/static/new-www/news/2014/august/02_smssend_1.png)
https://ci3.googleusercontent.com/proxy/2yIdUeVmE_cZNkg6gdT2_ClUILK2GcJXKq0UtQGX9yCsxDkf58 bBKAb9C_N1IkCdzcxNsmMeEEgIxOvW_0xop2rH3Z6qh2kn0il8 j3v_b6Jcu8ZbaxVQtYNqYJk=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/03_smssend_2.1.png (http://st.drweb.com/static/new-www/news/2014/august/03_smssend_2.png)
После этого Android.SmsSend.1404.origin предлагал пользователю-жертве ввести в специальную форму ряд конфиденциальных сведений, которые затем передавались злоумышленникам. Кроме того, троянец без ведома владельца мобильного устройства рассылал по всем найденным в телефонной книге контактам СМС-сообщения со ссылкой на загрузку своей копии, тем самым реализуя традиционный для СМС-червей функционал и увеличивая масштабы распространения данной угрозы.
https://ci3.googleusercontent.com/proxy/cGlLCDt-s33LEgjx3kYgVQZnai7uvNzlmAVPi4yRzkP8YQkJf73D5uCy0L vCeXe7M93MG7Ts1WmZZu7ht6zZh7aE_4Gyf2282gzRlUmZL-M7nUgbEWpICCMTpLcZ-50=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/04_smssend_3_ru.1.png (http://st.drweb.com/static/new-www/news/2014/august/04_smssend_3_ru.png)
https://ci4.googleusercontent.com/proxy/-al_OizfPbsBl-fxeV-e38AQZ1EiegNISaHotK41DIQ2fGtpqCK-GJ4gYxvPuC3BYMgRMXoRXN2fFJaeZoZ6EYRlRPTIM5vUEkMqKf uEMR9EWWJtt_aWggMdD0c=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/05_smssend_4.1.png (http://st.drweb.com/static/new-www/news/2014/august/05_smssend_4.png)
Устанавливаемый этой вредоносной программой компонент является представителем распространенного семейства троянцев-ботов, выполняющих по команде злоумышленников определенные действия. В частности, этот бот способен отправлять различные СМС, а также перехватывать все поступающие на инфицированное устройство короткие сообщения.
https://ci3.googleusercontent.com/proxy/BJ8EjBsjDJIduKEUYxqk2ZYwRcbz_NiRYwy4Iavg5N-fqOsrknfprc5i_iF0Fol-IkqR0oL7KHDS0nv24pyh2qqZML0ujGS1SrSSqW8bUDvtUUQrUW M0E-tLx1A=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/06_smssend_5.1.png (http://st.drweb.com/static/new-www/news/2014/august/06_smssend_5.png)
В прошедшем месяце были зафиксированы новые случаи появления троянцев-блокировщиков семейства Android.Locker (http://vms.drweb.com/search/?q=Android.Locker), затрудняющих работу с зараженными мобильными устройствами. В августе одной из наиболее заметных угроз такого типа стал троянец Android.Locker.27.origin, о котором компания «Доктор Веб» сообщала (http://news.drweb.com/show/?i=5889) ранее. Данная вредоносная программа распространялась киберпреступниками под видом антивирусного приложения и, как и другие подобные вымогатели, блокировала Android-устройства и требовала выкуп за их разблокировку. Однако благодаря особенностям реализованного в этом троянце механизма проверки платежа пострадавшие от действия вымогателя пользователи могли легко и совершенно бесплатно избавиться от этой неприятной угрозы. В частности,Android.Locker.27.origin проверял, состоит ли вводимый код оплаты из 14 цифр и не содержит ли определенных цифровых комбинаций. Если эти условия выполнялись, троянец снимал блокировку, после чего инициировал свое удаление.
https://ci4.googleusercontent.com/proxy/JXrTwD3GEwmzPFRcqx4K5zkOarujAHT1VJsTMPEaMqvVBJZKRv SWpZuAFOucGLNWh3kK3EJovPZdRV0RzwgW00H11RW72yZVjuEg sokCFPJCmOP1EXZkoayoGA=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/07_locker_1.1.png (http://st.drweb.com/static/new-www/news/2014/august/07_locker_1.png)
https://ci4.googleusercontent.com/proxy/P2ZCshIlcWSaDhnc5Gs1A97Lsdbjv6MEOKFsxt5IKU48dqfbtp xADIvpiFo1TZ-LeXCZTHF8aoJYemxi07TIfOBPM1agjRNQbLrjjwB0jJ7ALfNop DhVzTrkhw=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/08_locker_2.1.png (http://st.drweb.com/static/new-www/news/2014/august/08_locker_2.png)
https://ci6.googleusercontent.com/proxy/Qzoc5cu6pN7Ug2GTwT7MTXlUELe7Q4VSN6U7k29zbDHwbbNIi9 Kum6zmh50qKAOLqhkCyTHVLDlG8cxB0bXTzdy5gxoN9UHk0eiP _DRuJgbWyM2GWf-5kvZDwg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/09_locker_3.1.png (http://st.drweb.com/static/new-www/news/2014/august/09_locker_3.png)
В августе вновь были зафиксированы случаи распространения различных Android-троянцев, предназначенных для атаки на южнокорейских пользователей. Как и прежде, главным методом распространения этих угроз стали нежелательные СМС-рассылки, организованные киберпреступниками. В течение месяца специалистами компании «Доктор Веб» было отмечено более 100 подобных спам-кампаний, при этом с их помощью наибольшее распространение получили такие вредоносные приложения как Android.Banker.28.origin (http://vms.drweb.com/search/?q=Android.Banker.28.origin) (26,21%), Android.SmsBot.121.origin(23,30%), Android.SmsSpy.78.origin (15,54%) и Android.MulDrop.14.origin (9,71%).
https://ci6.googleusercontent.com/proxy/iXRVEhOTtevujbK3NyrP3vibO3VIv8Nmpw7me6voYF8Weoexem kwjuBfpjTth0GRghbjVnDEPJDJTsspi9tvrxoWVrXP0HBlUIjA QOu_8RjrkaMvoLB37R1Y1A=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/10_korea_ru.1.png (http://st.drweb.com/static/new-www/news/2014/august/10_korea_ru.png)
Несмотря на то, что распространение мобильных Android-троянцев с применением СМС-спама уже давно является стандартной практикой для многих киберпреступников, другие методы доставки вредоносных программ на мобильные устройства пользователей также не остаются без внимания. Например, в прошедшем месяце специалистами по информационной безопасности была зафиксирована массовая спам-рассылка сообщений электронной почты, которые содержали ссылку на загрузку опасного Android-троянца Android.Backdoor.96.origin. Данная вредоносная программа представляет собой бэкдор, распространяющийся под видом антивирусного приложения и способный выполнять различные действия по команде злоумышленников.
https://ci6.googleusercontent.com/proxy/8SKlitzY-LkIKH5ck8O7qtNUrmvYHWtZhS8795XLWh1iJXLFVPOi0fnYNkj-ZcmMtAn6d2eeLRCq6s6pAaCKAHnONv5Iio8trPJArYxldg6-5dTpGzzsxsu6CZGMLwg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/11_backdoor96_1.1.png (http://st.drweb.com/static/new-www/news/2014/august/11_backdoor96_1.png)
https://ci3.googleusercontent.com/proxy/e5BiWLa3zhUUYk9d-ID91Vd8aeYcwluQGrOiiglcJfAeYKeQEVluzEBx9WHq0eTidbX kFos5ryiReuUt5UqGnodxChYkz3Nhy20sGuu_uKKdaJ7G6DNJ5 vmF_NsO_Gg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/12_backdoor96_2.1.png (http://st.drweb.com/static/new-www/news/2014/august/12_backdoor96_2.png)
В частности, троянец может красть различную конфиденциальную информацию, такую как СМС-сообщения, список контактов, историю веб-браузера, отслеживать GPS-координаты зараженного мобильного устройства, автоматически активировать встроенный микрофон для прослушивания окружения, выполнять USSD-запросы, демонстрировать на экране различные сообщения, а также записывать все совершаемые звонки в аудиофайлы, которые вместе с прочими данными загружаются на сервер злоумышленников.