Przegląd złośliwych programów mobilnych według Doctor Web - październik 2015

30 października 2015

Liczba wpisów w bazie wirusów Dr.Web dotyczących złośliwego i niechcianego oprogramowania wymierzonego w system Android

Zagrożenie mobilne miesiąca

Z początkiem października analitycy bezpieczeństwa wykryli nowego trojana wymierzonego w system iOS. Program, nazwany IPhoneOS.Trojan.YiSpecter.2, był dystrybuowany jako niegroźna aplikacja, głównie pomiędzy użytkownikami w Chinach. W szczególności, jeśli użytkownik odwiedził stronę www z treściami dla dorosłych aby obejrzeć kilka filmów, to był zachęcany do zainstalowania specjalnego odtwarzacza wideo, który, oprócz posiadania funkcji odtwarzania tychże filmów, zawierał trojana. Do rozpowszechniania tego złośliwego programu, cyberprzestępcy wykorzystali korporacyjną metodę dystrybucji oprogramowania pozwalającą właścicielom urządzeń z systemem iOS na pobieranie aplikacji ze źródeł innych niż App Store — co więcej, IPhoneOS.Trojan.YiSpecter.2 instalował się na smartfonach i tabletach niezależnie od tego, czy posiadały “jailbreak”, czy też nie.

IPhoneOS.Trojan.YiSpecter.2 posiada następujące funkcje:

• Wysyła na serwer kontrolno-zarządzający informacje o zaatakowanym urządzeniu mobilnym.
• Instaluje dodatkowe moduły trojana niezbędne do jego działania.
• Potrafi odinstalowywać programy lub zamieniać je na fałszywe kopie po otrzymaniu komendy z serwera kontrolno-zarządzającego.
• Potrafi wyświetlać reklamy na urządzeniach z systemem iOS.
• Jeśli użytkownik usunie trojana lub jeden z jego komponentów, złośliwy moduł ponownie je zainstaluje.

Trojany w Google Play

W październiku analitycy bezpieczeństwa wykryli kolejnego trojana w Google Play. Trojan, nazwany Android.PWS.3, ukrywał się jako odtwarzacz audio pozwalający użytkownikom serwisu Vkontakte (“ВКонтакте”) słuchać zawartości audio. Uruchomiony, Android.PWS.3 zachęcał potencjalną ofiarę do zalogowania się do jej konta w Vkontakte, wyświetlając stosowny formularz autoryzacyjny. Gdy tylko użytkownik wprowadził swój login i hasło, trojan przekazywał te informacje cyberprzestępcom. Co więcej, gdy połączenie z serwerem kontrolno-zarządzającym zostało zestawione, trojan otrzymywał listę grup Vkontakte, do których automatycznie dodawał użytkowników zaatakowanych urządzeń, promując te społeczności.

Trojany w firmware

Prawie w każdym miesiącu analitycy bezpieczeństwa Doctor Web rejestrują nowe przypadki firmware systemu Android zainfekowanego złośliwymi aplikacjami — drugi miesiąc jesieni nie był tu wyjątkiem. W tym czasie kilka urządzeń mobilnych miało preinstalowany złośliwy program nazwany Android.Cooee.1. To malware jest zawarte w aplikacji uruchamiającej (środowisku graficznym systemu Android) i zawiera kilka specjalnych modułów odpowiedzialnych za wyświetlanie reklam. Co więcej, ten złośliwy program potrafi pobierać i uruchamiać nie tylko dodatkowe pakiety reklam, ale i inne aplikacje, włączając w to te złośliwe — przykładowo, Android.DownLoader.225 zaprojektowany do skrytego pobierania na zaatakowanym urządzeniu różnych programów.

Jeśli użytkownik usunie aplikację uruchamiającą zawierającą Android.Cooee.1, to podczas następnego włączenia urządzenia system operacyjny nie załaduje się. Z tego powodu, zanim odinstalujemy złośliwy program, musimy zainstalować inną aplikację uruchamiającą i ustawić ją jako domyślną.

Trojany bankowe

W październiku duża ilość różnych trojanów bankowych kontynuowała ataki na urządzenia z systemem Android. Jeden z tych trojanów to Android.BankBot.80.origin, który został wykryty pod koniec miesiąca i ukrywał się pod postacią oficjalnej aplikacji bankowej jednej z rosyjskich organizacji finansowych. Gdy Android.BankBot.80.origin zostanie zainstalowany i uruchomiony, zachęca użytkownika do udzielenia mu uprawnień administratora. Gdy zgoda zostanie udzielona, malware skanuje listę kontaktów użytkownika, wysyłając na wszystkie numery wiadomość SMS wyglądającą w następujący sposób: Hi! Vote for me http://******konkurs.ru/ (“Привет, проголосуй за меня http://******konkurs.ru/”). Link z tej wiadomości prowadzi na fałszywą stronę www rzekomo powiązaną z konkursem fotograficznym. Z tej strony www na urządzenie ofiary ładowana jest modyfikacja trojana wykrywana przez Dr.Web jako Android.SmsBot.472.origin. Co więcej, strona oferuje właścicielom smartfonów i tabletów możliwość zainstalowania specjalnego programu do głosowania, który jest w rzeczywistości kolejną wersją Android.BankBot.80.origin.

Trojan może pochwalić się następującymi cechami:

• Ukrywa się pod płaszczykiem legalnego oprogramowania, na przykład jako oficjalna aplikacja do bankowości online lub program do głosowania.
• W sposób ciągły monituje użytkownika o udzielenie mu uprawnień administratora wyświetlając stosowną zachętę, która uniemożliwia ofierze korzystanie z urządzenia w zwykły sposób.
• Wysyła do wszystkich kontaktów użytkownika wiadomości SMS z linkiem do fałszywej strony www, z której na urządzenie ofiary ładowana jest modyfikacja trojana.
• Potrafi wykradać pieniądze z kont mobilnych, kont bankowych i kont w systemach płatności.
• Włącza przekazywanie połączeń na określony numer zapobiegając odbieraniu połączeń przychodzących przez użytkownika.

Jeśli chcesz dowiedzieć się więcej na temat Android.BankBot.80.origin, przejdź do artykułu.

Liczba wpisów w bazie wirusów Dr.Web dotycząca trojanów bankowych z rodziny Android.BankBot:

Liczba wpisów w bazie wirusów Dr.Web dotycząca wielokomponentowych trojanów z rodziny Android.SmsSend: