Пятница, 18 Октябрь 2013 10:14

Новый троян использует уязвимость Android для кражи конфиденциальных данных

Компания «Доктор Веб» сообщила о появлении нового Android-трояна, предназначенного для кражи у южнокорейских пользователей их конфиденциальных сведений. [CNews]

По своему функционалу он схож с аналогичными вредоносными программами, однако при его создании злоумышленники использовали уязвимость операционной системы Android, позволяющую обойти проверку антивирусными программами, что увеличивает потенциальный риск для владельцев Android-устройств, рассказали CNews в компании.

Новый троян, добавленный в вирусную базу Dr.Web как Android.Spy.40.origin, распространяется среди южнокорейских пользователей при помощи нежелательных SMS-сообщений, содержащих ссылку на apk-файл. В настоящий момент это один из самых популярных методов, который используется киберпреступниками в Юго-Восточной Азии (преимущественно в Южной Корее и Японии) для распространения вредоносного ПО для ОС Android, указали в «Доктор Веб». После установки и запуска Android.Spy.40.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства, а затем удаляет свой значок с главного экрана, скрытно продолжая свою работу.

Далее троян соединяется с удаленным сервером, откуда получает дальнейшие указания. В частности, Android.Spy.40.origin способен выполнить следующие действия: начать перехват входящих SMS и загрузку их содержимого на сервер (от пользователя эти сообщения скрываются); блокировать исходящие звонки; отправить на сервер список контактов или список установленных приложений; удалить или установить определенное приложение, указанное в поступившей команде; отправить SMS на заданный в команде номер с указанным текстом.

Увеличить

По мнению специалистов «Доктор Веб», эта вредоносная программа может представлять серьезную угрозу для пользователей, так как в перехватываемых ею SMS-сообщениях может содержаться конфиденциальная информация, включающая как личную, так и деловую переписку, сведения о банковских реквизитах, а также одноразовые mTAN-коды, предназначенные для защиты совершаемых финансовых операций. Кроме того, полученный киберпреступниками список контактов впоследствии может быть использован для организации массовых SMS-рассылок и фишинг-атак.

Однако главной особенностью Android.Spy.40.origin является использование уязвимости ОС Android, которая позволяет вредоносной программе избежать детектирования существующими антивирусными решениями, подчеркнули в компании. Для этого злоумышленники внесли в apk-файл трояна специальные изменения (apk-файл является стандартным zip-архивом, имеющим другое расширение).

Согласно спецификации формата zip, заголовок архива для каждого из находящихся в нем файлов имеет специальное поле General purpose bit flag. Установленный нулевой бит этого поля указывает на то, что файлы в архиве зашифрованы (защищены паролем). Иными словами, несмотря на фактическое отсутствие пароля, при значении этого бита равным 1 архив должен обрабатываться как защищенный.

Увеличить

Как видно на изображении выше, в нормальных условиях при попытке распаковки такого zip-файла выдается соответствующее предупреждение о необходимости ввода пароля, однако в случае с ОС Android алгоритм обработки подобных архивов имеет ошибку и заданный нулевой бит игнорируется, что позволяет выполнить установку программы, пояснили в «Доктор Веб». В отличие от операционной системы, имеющей данную уязвимость, различные антивирусные приложения должны корректно обрабатывать поле General purpose bit flag, считая файл защищенным при помощи пароля и не сканируя его даже в том случае, если запись о содержащемся в apk-пакете вредоносном файле имеется в вирусной базе.

Специалисты «Доктор Веб» оперативно внесли в функционал антивируса Dr.Web для Android необходимые изменения, поэтому вредоносные программы, использующие описанный выше метод, успешно им детектируются. Тем не менее, пользователям Android-устройств настоятельно рекомендуется соблюдать повышенную осторожность и не устанавливать подозрительные приложения, а также не переходить по ссылкам, полученным в нежелательных SMS-сообщениях.

В настоящий момент основная «зона обитания» нового трояна — Южная Корея, однако в будущем его возможные модификации вполне могут начать распространяться и в других странах, полагают в компании.

Подробнее: http://safe.cnews.ru/news/line/index.shtml?2013/10/17/546429

Заявка на участие в тренинге
Личные данные

ФИО (англ.яз)
Неверный ввод

ФИО (рус.яз)
Неверный ввод

ФИО (каз.яз)
Неверный ввод

Дата рождения
Неверный ввод

Пол
Неверный ввод

Адрес

Страна
Неверный ввод

Город
Неверный ввод

Улица, дом, квартира
Неверный ввод

Почтовый индекс
Неверный ввод

Бизнес информация

Область деятельности
Неверный ввод

Место работы
Неверный ввод

Должность
Неверный ввод

Контактные данные

Мобильный телефон
Неверный ввод

Домашний телефон
Неверный ввод

Рабочий телефон
Неверный ввод

Электронная почта
Неверный ввод

Skype
Неверный ввод

Уровень образования на время заполнения заявки:
Неверный ввод

ОБРАЗОВАНИЕ (1)

Учебное заведение
Неверный ввод

Факультет
Неверный ввод

Специальность
Неверный ввод

Дата окончания
Неверный ввод

Номер диплома
Неверный ввод

Ученая степень

Дата получения
Неверный ввод

Степень
Неверный ввод

Название и номер документа, удостоверяющего получение
Неверный ввод