Новые троянцы нацелились на Android-устройства с root-доступом

«Доктор Веб» предупреждает о появлении новых вредоносных программ для операционной системы Android

ПредыдущаяСледующая
Doctor Web Logo

Компания «Доктор Веб» предупреждает о появлении новых вредоносных программ для операционной системы Android. Под ударом находятся владельцы мобильных устройств, использующие систему с повышенными привилегиями.

Новые троянцы распространяются злоумышленниками вместе с легитимными приложениями через популярные сайты-сборники программного обеспечения и используют довольно интересный механизм работы. Вредоносные программы реализуют принцип «матрешки»: модифицированное приложение (детектируется Dr.Web как Android.MulDrop.origin.3) содержит другой программный пакет (apk-файл), который зашифрован. Фактически первое приложение является дроппером — своеобразным контейнером, служащим для доставки других вредоносных программ.

Немаловажной деталью является то, что создатели троянца в качестве основы для дроппера выбрали определенный тип приложений: системные утилиты, конфигураторы и т. д. Подобная разборчивость легко объясняется тем, что для работы большинства из них требуются права администратора, поэтому, когда после запуска такое приложение запрашивает root-доступ, пользователь может ничего не заподозрить.

В случае успешного получения необходимых привилегий Android.MulDrop.origin.3 расшифровывает скрытый в нем apk-файл и помещает его в системный каталог (//system//app// под именем ComAndroidSetting.apk). Как это ни удивительно, но данное приложение, добавленное в вирусные базы как Android.MulDrop.origin.4, также является дроппером. Как и Android.MulDrop.origin.3, он содержит зашифрованный apk-пакет. Троянец активируется после очередного запуска системы, расшифровывает и устанавливает скрытый внутри него программный пакет, который, в свою очередь, является троянцем-загрузчиком и детектируется как Android.DownLoader.origin.2.

Android.DownLoader.origin.2 также имеет функцию автозапуска. После старта системы он соединяется с удаленным сервером и получает список приложений, которые ему необходимо загрузить и установить. В этом списке могут находиться как другие вредоносные программы, так и вполне безобидные приложения. Все зависит лишь от фантазии злоумышленников и преследуемых ими целей.

Стоит отметить, что 28 апреля 2012 года специалисты «Доктор Веб» обнаружили другую версию дроппера. Как и Android.MulDrop.origin.3, Android.MulDrop.origin.2 распространяется на различных сайтах-сборниках ПО, однако функционирует несколько иначе. После запуска троянец пытается поместить на карту памяти спрятанный внутри него зашифрованный apk-файл, который предварительно расшифровывает. Одновременно с этим он демонстрирует в панели уведомлений сообщение, содержащее фразу «Android Patch 8.2.3». Если пользователь нажмет на это сообщение, запустится стандартный процесс установки, однако из-за ошибки, допущенной авторами дроппера, он не способен записать необходимый пакет на карту памяти, поэтому установка становится невозможной.

В случае если бы авторы троянца не допустили ошибку, в систему установился бы троянец-загрузчик Android.DownLoader.origin.1, который имеет возможность автоматического запуска при каждом включении мобильного устройства. После соединения с удаленным сервером он получает конфигурационный xml-файл со списком приложений, которые ему требуется загрузить и установить в систему. На устройствах, не подвергавшихся модификации, это действие потребует участия пользователя, однако владельцы систем с наличием root-доступа не должны заметить ничего подозрительного.

Проведенный анализ показал, что дроппер Android.MulDrop.origin.2 был создан теми же авторами, что и Android.MulDrop.origin.3. Можно предположить, что Android.MulDrop.origin.2 является пробой пера злоумышленников и служит тестовой платформой для обкатки их технологий.

4 мая 2012 Г.

09:10

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Yota снижает цены на свои услуги в Крыму в несколько раз: Цена на исходящие звонки в Крыму снизится более чем в семь раз5

Факт разработки планшета Xiaomi Mi Pad 4 снова подтвержден: Xiaomi Mi Pad 3 был выпущен около года назад1

EnvisionTEC представила свой самый прочный материал для 3D-печати: Для демонстрации материала E-RigidForm была изготовлена самая длинная в мире 3D-печатная цепочка15

Умные АС Facebook задерживаются до октября 2018: Массовое производство начнется в июне этого года

Google не выполняет требования Роскомнадзора: Вполне ожидаемой реакцией Роскомнадзора на это стала очередная блокировка IP-адресов Google96

В Индонезии новорожденную назвали в честь компании Xiaomi: Xiaomi может провести первое публичное размещение акций уже в мае 2018 года5

LG Electronics готовится совершить свою самую крупную покупку : На приобретение ZKW Group уйдет около $1,5 млрд

Центральный банк Ирана запретил сделки с криптовалютами: Причиной названо использование криптовалют для отмывания денег3

Nest начинает раздавать умные термостаты бесплатно: На получение устройств могут рассчитывать семьи с низким доходом8

Представлены наушники Meizu Halo: Цена наушников составляет 160 долларов13

Hyundai Mobis начинает тестирование самоуправляемого автомобиля M.BILLY: Серийный выпуск самоуправляемых автомобилей уровня 3 должен начаться в 2022 году

LG Electronics принимает предзаказы на проектор LG CineBeam Laser 4K: Цена устройства равна 2999 долларов10

Беспроводные наушники Meizu Pop оценены в $80: Особенностью наушников является круговая подсветка, которая информирует об уровня заряда аккумулятора13

Silicon Mitus SM5516 — самая маленькая микросхема eMarker с поддержкой PD 3.0: Микросхемы eMarker нужны для кабелей с разъемами USB-C1

Автозаполнение Google ежедневно экономит 200 лет ввода: Данная функциональность сокращает время ввода примерно на 25%6

Сгибающийся смартфон Samsung может быть оснащен...тремя дисплеями: Прототип демонстрировался еще в начале года на выставке CES 20187

Apple не может опередить Amazon и Google в рейтинге компаний, которые оказывают наибольшее положительное влияние на общество: Первое место в рейтинге заняла компания Amazon, которая получила 20% голосов20

Водоблок EK-FC1080 GTX Ti FTW3 RGB предназначен для 3D-карт EVGA GeForce GTX 1080 Ti FTW3: Он стоит 150 евро7

Монитор Philips Momentum 436M6VBPAB разрешением 4K имеет сертификат DisplayHDR 1000: К особенностям 436M6VBPAB можно отнести фирменную технологию фоновой подсветки Ambiglow7

Фотография упаковки Xiaomi Mi 6X подтверждает некоторые характеристики смартфона: Источники опубликовали фотографию упаковки смартфона Xiaomi Mi 6X, на которой видны некоторые характеристики устройства8

В ближайшие дни BMW представит электромобиль iX3: Местом для этого выбран пекинский автосалон Auto China 2018 3

Пользователи Android Auto получили доступ к полному списку контактов : Просмотр без ограничений доступен, если автомобиль стоит на месте4

Представлен гоночный электромобиль Volkswagen I.D. R Pikes Peak: 10

iXBT TV

  • Обзор игрового компьютера Flextron Astra российской компании «Ф-Центр»

  • Второе поколение Ryzen, флагманский Honor 10, Telegram не сдается

  • Обзор «умного» мультипекаря Redmond SkyBaker RMB-M657/1S

  • Обзор вертикального аккумуляторного циклонного пылесоса Kitfort KT-527

  • Клавиатура TT eSports Premium X1 RGB – богатые возможности

  • Обзор источника бесперебойного питания APC Smart-UPS On-line SRC1KI

  • Apple работает над модульным ПК и процессором, слайдер-смартфон, Tesla должна ответить

  • Обзор инсталляционного проектора Panasonic PT-MZ670E с лазерно-люминофорным источником света

  • Обзор перфоратора Bosch GBH 2-26 DFR Professional

  • Обзор среднебюджетного блока питания Cougar GX-S 750

  • Представлены Apple iPad 2018, Huawei P20 и P20 Pro, Xiaomi Mi Mix 2s!

  • Обзор микрокомпьютера Intel Compute Card размером с кредитку

Календарь

май
Пн
Вт
Ср
Чт
Пт
Сб
Вс