Ilya Shabanov
27.10.2014, 15:53
Вредоносы для Android становятся все более суровее:
Специалисты компании «Доктор Веб» обнаружили троянца-дозвонщика, который заражает мобильные устройства под управлением ОС Android и обладает серьезным механизмом самозащиты. Вредоносные программы, совершающие дорогостоящие звонки без согласия пользователя, известны давно: подобные угрозы были широко распространены в эпоху медленного интернет-соединения по технологии dial-up, когда связь осуществлялась с использованием модемов, а позднее нередко атаковали и мобильные устройства.
Основная задача таких вредоносных программ – установить соединение с определенным телефонным номером (в большинстве случаев принадлежащим развлекательному сервису категории «для взрослых»), за что с абонентского счета жертвы списывается внушительная сумма, поступающая в карман злоумышленников. В настоящее время подобные программы встречаются не так часто, однако все еще используются мошенниками для получения незаконного заработка.
Новый Android-троянец, добавленный специалистами компании «Доктор Веб» в вирусную базу под именем Android.Dialer.7.origin (http://vms.drweb.com/search/?q=Android.Dialer.7.origin), представляет собой классическую вредоносную программу-дозвонщик, совершающую звонки на премиум-номера. Троянец распространяется злоумышленниками под видом эротического приложения и после установки помещает на главный экран мобильного устройства свой ярлык, который не имеет подписи и значка, в результате чего у некоторых пользователей может сложиться ложное впечатление о том, что установка программы не удалась.
В ряде случаев после запуска Android.Dialer.7.origin может продемонстрировать сообщение об ошибке доступа к запрошенной услуге, после чего окончательно скрывает следы своего пребывания в зараженной системе, удаляя созданный ранее ярлык и функционируя в дальнейшем в качестве системного сервиса. Помимо ручного запуска через ярлык, троянец активирует данный сервис автоматически, например, после очередного включения зараженного устройства, поэтому фактически для начала вредоносной деятельности не требуется никакого вмешательство пользователя.
https://ci5.googleusercontent.com/proxy/5z4fp101lkRS1z00EdPztQKS3rtFeCCfXcimC2wqV0K3QKuP9j 6kLG5xq4wDw1h3z5smjWL_LgXYXO7UlZt_kFLh-sjfNLl8VMzibaXGuGV8ZKor2O-6vZ9IJ_KIWzwMc_Yf=s0-d-e1-ft#https://st.drweb.com/static/new-www/news/2014/october/android_dialer7_1.1.png (http://st.drweb.com/static/new-www/news/2014/october/android_dialer7_1.png)
https://ci4.googleusercontent.com/proxy/lnmzshGvJt1q8AwHUtXPZ6Cey7Xh3D0EjmHYI3DwwuDGpUZHZo GHXraFZQbxAZenc818VmzzibYxQUJG22iORkFF1JMOT7zPuiX3 Tzyax6B2SD8gfy8h5uzvWXVI7r7i-9yc=s0-d-e1-ft#https://st.drweb.com/static/new-www/news/2014/october/android_dialer7_2.1.png (http://st.drweb.com/static/new-www/news/2014/october/android_dialer7_2.png)
Запускаемый Android.Dialer.7.origin сервис с определенной периодичностью осуществляет звонки на номер 803402470, информация о котором хранится в настройках троянца. Однако при необходимости киберпреступники могут изменить целевой номер дозвона, отдав вредоносному приложению соответствующую команду с управляющего сервера, – это увеличивает функциональную гибкостьAndroid.Dialer.7.origin и позволяет его авторам заработать сразу на нескольких платных сервисах.
Чтобы уменьшить вероятность обнаружения пользователем нежелательной активности, троянец отключает разговорный динамик мобильного устройства на время «телефонного разговора», а для окончательного сокрытия вредоносной деятельности удаляет из системного журнала, а также из списка совершенных звонков всю компрометирующую его информацию.
Однако главной особенностью этого дозвонщика является его способность противостоять попыткам пострадавшего пользователя удалить угрозу с зараженного мобильного устройства: как только жертва откроет раздел системных настроек, отвечающий за управление приложениями, Android.Dialer.7.origin заблокирует это действие, переведя пользователя на главный экран операционной системы. Таким образом, ручное удаление троянца становится практически невозможным.
Специалисты компании «Доктор Веб» обнаружили троянца-дозвонщика, который заражает мобильные устройства под управлением ОС Android и обладает серьезным механизмом самозащиты. Вредоносные программы, совершающие дорогостоящие звонки без согласия пользователя, известны давно: подобные угрозы были широко распространены в эпоху медленного интернет-соединения по технологии dial-up, когда связь осуществлялась с использованием модемов, а позднее нередко атаковали и мобильные устройства.
Основная задача таких вредоносных программ – установить соединение с определенным телефонным номером (в большинстве случаев принадлежащим развлекательному сервису категории «для взрослых»), за что с абонентского счета жертвы списывается внушительная сумма, поступающая в карман злоумышленников. В настоящее время подобные программы встречаются не так часто, однако все еще используются мошенниками для получения незаконного заработка.
Новый Android-троянец, добавленный специалистами компании «Доктор Веб» в вирусную базу под именем Android.Dialer.7.origin (http://vms.drweb.com/search/?q=Android.Dialer.7.origin), представляет собой классическую вредоносную программу-дозвонщик, совершающую звонки на премиум-номера. Троянец распространяется злоумышленниками под видом эротического приложения и после установки помещает на главный экран мобильного устройства свой ярлык, который не имеет подписи и значка, в результате чего у некоторых пользователей может сложиться ложное впечатление о том, что установка программы не удалась.
В ряде случаев после запуска Android.Dialer.7.origin может продемонстрировать сообщение об ошибке доступа к запрошенной услуге, после чего окончательно скрывает следы своего пребывания в зараженной системе, удаляя созданный ранее ярлык и функционируя в дальнейшем в качестве системного сервиса. Помимо ручного запуска через ярлык, троянец активирует данный сервис автоматически, например, после очередного включения зараженного устройства, поэтому фактически для начала вредоносной деятельности не требуется никакого вмешательство пользователя.
https://ci5.googleusercontent.com/proxy/5z4fp101lkRS1z00EdPztQKS3rtFeCCfXcimC2wqV0K3QKuP9j 6kLG5xq4wDw1h3z5smjWL_LgXYXO7UlZt_kFLh-sjfNLl8VMzibaXGuGV8ZKor2O-6vZ9IJ_KIWzwMc_Yf=s0-d-e1-ft#https://st.drweb.com/static/new-www/news/2014/october/android_dialer7_1.1.png (http://st.drweb.com/static/new-www/news/2014/october/android_dialer7_1.png)
https://ci4.googleusercontent.com/proxy/lnmzshGvJt1q8AwHUtXPZ6Cey7Xh3D0EjmHYI3DwwuDGpUZHZo GHXraFZQbxAZenc818VmzzibYxQUJG22iORkFF1JMOT7zPuiX3 Tzyax6B2SD8gfy8h5uzvWXVI7r7i-9yc=s0-d-e1-ft#https://st.drweb.com/static/new-www/news/2014/october/android_dialer7_2.1.png (http://st.drweb.com/static/new-www/news/2014/october/android_dialer7_2.png)
Запускаемый Android.Dialer.7.origin сервис с определенной периодичностью осуществляет звонки на номер 803402470, информация о котором хранится в настройках троянца. Однако при необходимости киберпреступники могут изменить целевой номер дозвона, отдав вредоносному приложению соответствующую команду с управляющего сервера, – это увеличивает функциональную гибкостьAndroid.Dialer.7.origin и позволяет его авторам заработать сразу на нескольких платных сервисах.
Чтобы уменьшить вероятность обнаружения пользователем нежелательной активности, троянец отключает разговорный динамик мобильного устройства на время «телефонного разговора», а для окончательного сокрытия вредоносной деятельности удаляет из системного журнала, а также из списка совершенных звонков всю компрометирующую его информацию.
Однако главной особенностью этого дозвонщика является его способность противостоять попыткам пострадавшего пользователя удалить угрозу с зараженного мобильного устройства: как только жертва откроет раздел системных настроек, отвечающий за управление приложениями, Android.Dialer.7.origin заблокирует это действие, переведя пользователя на главный экран операционной системы. Таким образом, ручное удаление троянца становится практически невозможным.