Обнаружен очень сложный Android-троянец
Специалисты по антивирусной безопасности говорят об обнаружении ранее неизвестного троянца, использующего уязвимость в операционной системе Android. Новый вредонос задействует технику, которая используется вредоносами, создаваемыми под Windows для сокрытия собственного присутствия в системе.
В “Лаборатории Касперского” рассказали об обнаружении нового вредоносного кода Backdoor.AndroidOS.Obad.a. По словам антивирусных аналитиков, выявленный код является одним из самых сложных на сегодня. Код сотворен для отправки SMS на премиум-номера и позволяет атакующим исполнять шпионские команды на зараженных устройствах, открывая фоновую shell-оболочку.
Атакующие могут использовать этот код для кражи широкого спектра данных, хранящихся на скомпрометированных устройствах, либо для загрузки дополнительных вредных программ, при этом код может подгружать дополнительные коды в том числе и через порт Блютуз. В “Лаборатории Касперского” молвят, что вредонос употребляет стойкий метод шифрования и сокрытия кода для затруднения анализа. “Создатели вредных программ, обычно, пробуют очень усложнить собственный код, чтоб антивирусные компании как можно подольше анализировали разработку. Но у Odad.a код вправду непростой для анализа, он превосходит другие мобильные вредоносы”, – гласит Роман Унучек, эксперт “Лаборатории Касперского”.
Создатели Backdoor.AndroidOS.Obad.a отыскали ошибку в пользующейся популярностью программке dex2jar, которая обычно употребляется аналитиками для конвертирования APK-файла в более удачный для работы формат JavaArchive (JAR). Обнаруженная злодеями уязвимость нарушает процесс конвертации Dalvik байт-кода в Java байт-код, что в конечном итоге затрудняет статический анализ троянца.
Также злодеями была найдена ошибка в OCAndroid, связанная с обработкой AndroidManifest.xml. Этот файл встречается в каждом Android-приложении и употребляется для описания структуры приложения, определения характеристик его пуска и т.д. Вирусописатели видоизменили AndroidManifest.xml таким макаром, что тот не соответствовал данному Гугл эталону, но при всем этом, благодаря отысканной уязвимости, верно обрабатывался на телефоне. В итоге динамический анализ троянца очень затруднен.
Создатели Backdoor.AndroidOS.Obad.a использовали еще одну неведомую ранее ошибку в ОС Android, которая позволяет вредоносному приложению воспользоваться расширенными правами DeviceAdministrator, но при всем этом отсутствовать в перечне приложений, владеющих такими правами. В итоге удалить со телефона вредоносную программку, получившую расширенные права, нереально. В конце концов, Backdoor.AndroidOS.Obad.a не имеет интерфейса и работает в фоновом режиме, молвят в компании.
Набор команд для Obad.a позволяет зловреду распространять файлы по Блютуз. С сервера приходит адресок файла, который должен быть скачан на зараженное устройство. После скачки файла по очередной команде с сервера вредное приложение определяет наиблежайшие устройства с включенным Блютуз и пробует передать им загруженный файл.
Невзирая на такие впечатляющие способности, Backdoor.AndroidOS.Obad.a не очень всераспространен. По данным KasperskySecurityNetwork за три денька наблюдений на его заблокированные установки приходится менее 0,15% всех попыток инфецирования мобильных устройств разными вредоносными программками.