Троянское приложение и sms-червь Android.SmsSend.1404.origin

[FONT=arial]В начале августа специалистами по информационной безопасности была обнаружена очередная атака, нацеленная на китайских пользователей мобильных Android-устройств и организованная с целью похищения конфиденциальной информации и незаконной рассылки СМС-сообщений. Для этого киберпреступники начали распространение троянского приложения [B]Android.SmsSend.1404.origin[/B], которое выполняло сразу несколько вредоносных функций. В частности, после своего запуска оно проверяло, установлен ли на мобильном устройстве другой Android-троянец ([B]Android.SmsBot.146.origin[/B] по классификации компании «Доктор Веб»), и, если он отсутствовал в системе, предлагало выполнить его инсталляцию под видом некоего важного программного дополнения.

[/FONT]
[TABLE]
[TR]
[TD][URL="http://st.drweb.com/static/new-www/news/2014/august/01_smssend_0_ru.png"][IMG]https://ci5.googleusercontent.com/proxy/xtVZcaJPVXvQ6v9IzA9zM7Je_PpKZBt5pLYxa8_dtIYVDJmSRqc24-nkzo3pO-pHCjoRtH3YL6Z48LUU887hgMK0o6Rpm1vPQyQD_puTUP67Ld-Ov14wtgK0pYYTagg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/01_smssend_0_ru.1.png[/IMG][/URL][/TD]
[TD][URL="http://st.drweb.com/static/new-www/news/2014/august/02_smssend_1.png"][IMG]https://ci3.googleusercontent.com/proxy/SpiGUIWnNH4giN-QMUxgkVMIdEa82ugUGyHMUvRm2AL-VPu9waJrbHwCOSgjzy9jWm8Eq67vG36PAHf1y1Iw-d_ho8F7y4_8i5BYKWD-vXAmBUpllWs04wh3qDY=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/02_smssend_1.1.png[/IMG][/URL][/TD]
[TD][URL="http://st.drweb.com/static/new-www/news/2014/august/03_smssend_2.png"][IMG]https://ci3.googleusercontent.com/proxy/2yIdUeVmE_cZNkg6gdT2_ClUILK2GcJXKq0UtQGX9yCsxDkf58bBKAb9C_N1IkCdzcxNsmMeEEgIxOvW_0xop2rH3Z6qh2kn0il8j3v_b6Jcu8ZbaxVQtYNqYJk=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/03_smssend_2.1.png[/IMG][/URL][/TD]
[/TR]
[/TABLE]
[FONT=arial]
После этого [B]Android.SmsSend.1404.origin[/B] предлагал пользователю-жертве ввести в специальную форму ряд конфиденциальных сведений, которые затем передавались злоумышленникам. Кроме того, троянец без ведома владельца мобильного устройства рассылал по всем найденным в телефонной книге контактам СМС-сообщения со ссылкой на загрузку своей копии, тем самым реализуя традиционный для СМС-червей функционал и увеличивая масштабы распространения данной угрозы.

[/FONT]
[TABLE]
[TR]
[TD][URL="http://st.drweb.com/static/new-www/news/2014/august/04_smssend_3_ru.png"][IMG]https://ci3.googleusercontent.com/proxy/cGlLCDt-s33LEgjx3kYgVQZnai7uvNzlmAVPi4yRzkP8YQkJf73D5uCy0LvCeXe7M93MG7Ts1WmZZu7ht6zZh7aE_4Gyf2282gzRlUmZL-M7nUgbEWpICCMTpLcZ-50=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/04_smssend_3_ru.1.png[/IMG][/URL][/TD]
[TD][URL="http://st.drweb.com/static/new-www/news/2014/august/05_smssend_4.png"][IMG]https://ci4.googleusercontent.com/proxy/-al_OizfPbsBl-fxeV-e38AQZ1EiegNISaHotK41DIQ2fGtpqCK-GJ4gYxvPuC3BYMgRMXoRXN2fFJaeZoZ6EYRlRPTIM5vUEkMqKfuEMR9EWWJtt_aWggMdD0c=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/05_smssend_4.1.png[/IMG][/URL][/TD]
[/TR]
[/TABLE]
[FONT=arial]
Устанавливаемый этой вредоносной программой компонент является представителем распространенного семейства троянцев-ботов, выполняющих по команде злоумышленников определенные действия. В частности, этот бот способен отправлять различные СМС, а также перехватывать все поступающие на инфицированное устройство короткие сообщения.


[/FONT]
[CENTER][FONT=arial][URL="http://st.drweb.com/static/new-www/news/2014/august/06_smssend_5.png"][IMG]https://ci3.googleusercontent.com/proxy/BJ8EjBsjDJIduKEUYxqk2ZYwRcbz_NiRYwy4Iavg5N-fqOsrknfprc5i_iF0Fol-IkqR0oL7KHDS0nv24pyh2qqZML0ujGS1SrSSqW8bUDvtUUQrUWM0E-tLx1A=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/06_smssend_5.1.png[/IMG][/URL][/FONT][/CENTER]
[FONT=arial]

В прошедшем месяце были зафиксированы новые случаи появления троянцев-блокировщиков семейства [URL="http://vms.drweb.com/search/?q=Android.Locker"][B]Android.Locker[/B][/URL], затрудняющих работу с зараженными мобильными устройствами. В августе одной из наиболее заметных угроз такого типа стал троянец [B]Android.Locker.27.o[/B][B]rigin[/B], о котором компания «Доктор Веб» [URL="http://news.drweb.com/show/?i=5889"]сообщала[/URL] ранее. Данная вредоносная программа распространялась киберпреступниками под видом антивирусного приложения и, как и другие подобные вымогатели, блокировала Android-устройства и требовала выкуп за их разблокировку. Однако благодаря особенностям реализованного в этом троянце механизма проверки платежа пострадавшие от действия вымогателя пользователи могли легко и совершенно бесплатно избавиться от этой неприятной угрозы. В частности,[B]Android.[/B][B]Locker.27.origin[/B] проверял, состоит ли вводимый код оплаты из 14 цифр и не содержит ли определенных цифровых комбинаций. Если эти условия выполнялись, троянец снимал блокировку, после чего инициировал свое удаление.

[/FONT]
[TABLE]
[TR]
[TD][URL="http://st.drweb.com/static/new-www/news/2014/august/07_locker_1.png"][IMG]https://ci4.googleusercontent.com/proxy/JXrTwD3GEwmzPFRcqx4K5zkOarujAHT1VJsTMPEaMqvVBJZKRvSWpZuAFOucGLNWh3kK3EJovPZdRV0RzwgW00H11RW72yZVjuEgsokCFPJCmOP1EXZkoayoGA=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/07_locker_1.1.png[/IMG][/URL][/TD]
[TD][URL="http://st.drweb.com/static/new-www/news/2014/august/08_locker_2.png"][IMG]https://ci4.googleusercontent.com/proxy/P2ZCshIlcWSaDhnc5Gs1A97Lsdbjv6MEOKFsxt5IKU48dqfbtpxADIvpiFo1TZ-LeXCZTHF8aoJYemxi07TIfOBPM1agjRNQbLrjjwB0jJ7ALfNopDhVzTrkhw=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/08_locker_2.1.png[/IMG][/URL][/TD]
[TD][URL="http://st.drweb.com/static/new-www/news/2014/august/09_locker_3.png"][IMG]https://ci6.googleusercontent.com/proxy/Qzoc5cu6pN7Ug2GTwT7MTXlUELe7Q4VSN6U7k29zbDHwbbNIi9Kum6zmh50qKAOLqhkCyTHVLDlG8cxB0bXTzdy5gxoN9UHk0eiP_DRuJgbWyM2GWf-5kvZDwg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/09_locker_3.1.png[/IMG][/URL][/TD]
[/TR]
[/TABLE]
[FONT=arial]
В августе вновь были зафиксированы случаи распространения различных Android-троянцев, предназначенных для атаки на южнокорейских пользователей. Как и прежде, главным методом распространения этих угроз стали нежелательные СМС-рассылки, организованные киберпреступниками. В течение месяца специалистами компании «Доктор Веб» было отмечено более 100 подобных спам-кампаний, при этом с их помощью наибольшее распространение получили такие вредоносные приложения как [URL="http://vms.drweb.com/search/?q=Android.Banker.28.origin"][B]Android.Banker.28.origin[/B][/URL] (26,21%), [B]Android.SmsBot.121.origin[/B](23,30%), [B]Android.SmsSpy.78.origin[/B] (15,54%) и [B]Android.MulDrop.14.origin[/B] (9,71%).

[/FONT]
[CENTER][FONT=arial][URL="http://st.drweb.com/static/new-www/news/2014/august/10_korea_ru.png"][IMG]https://ci6.googleusercontent.com/proxy/iXRVEhOTtevujbK3NyrP3vibO3VIv8Nmpw7me6voYF8WeoexemkwjuBfpjTth0GRghbjVnDEPJDJTsspi9tvrxoWVrXP0HBlUIjAQOu_8RjrkaMvoLB37R1Y1A=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/10_korea_ru.1.png[/IMG][/URL][/FONT][/CENTER]
[FONT=arial]Несмотря на то, что распространение мобильных Android-троянцев с применением СМС-спама уже давно является стандартной практикой для многих киберпреступников, другие методы доставки вредоносных программ на мобильные устройства пользователей также не остаются без внимания. Например, в прошедшем месяце специалистами по информационной безопасности была зафиксирована массовая спам-рассылка сообщений электронной почты, которые содержали ссылку на загрузку опасного Android-троянца [B]Android.Backdoor.96.origin[/B]. Данная вредоносная программа представляет собой бэкдор, распространяющийся под видом антивирусного приложения и способный выполнять различные действия по команде злоумышленников.[/FONT]
[TABLE]
[TR]
[TD][URL="http://st.drweb.com/static/new-www/news/2014/august/11_backdoor96_1.png"][IMG]https://ci6.googleusercontent.com/proxy/8SKlitzY-LkIKH5ck8O7qtNUrmvYHWtZhS8795XLWh1iJXLFVPOi0fnYNkj-ZcmMtAn6d2eeLRCq6s6pAaCKAHnONv5Iio8trPJArYxldg6-5dTpGzzsxsu6CZGMLwg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/11_backdoor96_1.1.png[/IMG][/URL][/TD]
[TD][URL="http://st.drweb.com/static/new-www/news/2014/august/12_backdoor96_2.png"][IMG]https://ci3.googleusercontent.com/proxy/e5BiWLa3zhUUYk9d-ID91Vd8aeYcwluQGrOiiglcJfAeYKeQEVluzEBx9WHq0eTidbXkFos5ryiReuUt5UqGnodxChYkz3Nhy20sGuu_uKKdaJ7G6DNJ5vmF_NsO_Gg=s0-d-e1-ft#http://st.drweb.com/static/new-www/news/2014/august/12_backdoor96_2.1.png[/IMG][/URL][/TD]
[/TR]
[/TABLE]
[FONT=arial]В частности, троянец может красть различную конфиденциальную информацию, такую как СМС-сообщения, список контактов, историю веб-браузера, отслеживать GPS-координаты зараженного мобильного устройства, автоматически активировать встроенный микрофон для прослушивания окружения, выполнять USSD-запросы, демонстрировать на экране различные сообщения, а также записывать все совершаемые звонки в аудиофайлы, которые вместе с прочими данными загружаются на сервер злоумышленников.

[/FONT]