The page may not load correctly.
31 marca 2016
W marcu specjaliści Doctor Web przebadali Android.Gmobi.1, złośliwy program dla Androida który został wykryty w takich aplikacjach jak TrendMicro Dr.Safety, TrendMicro Dr.Booster i Asus WebStorage, oraz był preinstalowany w ponad 40 urządzeniach mobilnych. Ten trojan jest specjalizowaną platformą programową SDK (Software Development Kit), używaną zazwyczaj przez producentów urządzeń lub przez twórców oprogramowania. Prawdopodobnie jej autorzy nie mieli na celu stworzenia trojana, jednakże ten moduł realizuje typowe funkcje programu reklamowego (adware).
Dlatego Android.Gmobi.1 potrafi wyświetlać denerwujące reklamy — na przykład w pasku statusowym lub na wierzchu uruchomionych aplikacji. Oprócz tego trojan tworzy bez wiedzy użytkownika skróty na ekranie domowym, otwiera strony w przeglądarkach i w Google Play, oraz pobiera, instaluje i uruchamia różne oprogramowanie. W dodatku do tych wszystkich złośliwych działań, Android.Gmobi.1 potrafi również działać jako program szpiegujący wykradając poufne informacje i wysyłając je na serwer. Aby przeczytać więcej na temat tego trojana, zajrzyj do następującej wiadomości.
Pod koniec zeszłego miesiąca specjaliści Doctor Web wykryli trojana szpiegującego i wyświetlającego reklamy nazwanego Android.Spy.277.origin w ponad 100 aplikacjach opublikowanych na Google Play. Ten złośliwy program był głównie dystrybuowany poprzez fałszywe wersje popularnego oprogramowania. Złośliwe funkcje Android.Spy.277.origin zawierają wysyłanie poufnych informacji na serwer i wyświetlanie denerwujących reklam użytkownikowi.
W szczególności potrafi on wyświetlać reklamy na wierzchu uruchomionych aplikacji lub interfejsu systemu operacyjnego, wyświetlać powiadomienia w pasku statusowym, tworzyć skróty na ekranie domowym i automatycznie otwierać strony www w przeglądarkach. Aby uzyskać więcej informacji na temat tego malware, zajrzyj do wiadomości opublikowanej przez Doctor Web.
W marcu specjaliści Doctor Web przebadali grupę trojanów dla Androida należących do rodziny Android.Triada. Te trojany potrafią wstrzykiwać swój kod w ważny proces systemowy Androida — Zygote — i wykonujące swoje złośliwe działania po otrzymaniu komendy od cyberprzestępców. Proces Zygote jest odpowiedzialny za uruchamianie aplikacji. Kiedy aplikacja jest uruchamiana, proces tworzy swoją własną kopię zawierającą biblioteki systemowe i inne wymagane komponenty. Gdy trojany zostaną wstrzyknięte w proces Zygote, mogą infekować procesy wszystkich uruchomionych aplikacji i, tym samym, wykonywać swoje złośliwe funkcje w imieniu lub z uprawnieniami tych aplikacji.
Główne złośliwe funkcje trojanów Android.Triada to skryte wysyłanie wiadomości SMS i zmienianie tekstu i numerów telefonów w wiadomościach wysyłanych przez użytkownika z zainfekowanego urządzenia. Jednakże te złośliwe programy potrafią pobierać z serwera dodatkowe moduły w celu wykonywania innych złośliwych działań.
Warto zauważyć, że trojany Android.Triada zawierają w sobie funkcję samoochrony. W szczególności próbują wyśledzić i zakończyć działanie kilku popularnych chińskich programów antywirusowych. Dodatkowo kontrolują integralność swoich komponentów — oznacza to, że jeśli jeden ze złośliwych obiektów zostanie skasowany, to zostanie przywrócony z kopii w pamięci RAM urządzenia.
Pojawienie się trojanów Android.Triada udowadnia jeszcze raz, że złośliwe programy dla urządzeń mobilnych z Androidem staje stają się coraz to bardziej niebezpieczne i wyrafinowane, prawie równorzędne najbardziej wymyślnym trojanom dla Windows. Specjaliści Doctor Web kontynuują bliską obserwację całego spektrum malware dla Androida i na czas aktualizują bazę wirusów Dr.Web sygnaturami nowych złośliwych aplikacji.
