Марат-блог
Услуги по продвижению и разработке сайта
Отправить заявку
Заказать обратный звонок

Спасибо, Ваша заявка принята.

В ближайшее время менеджер свяжется с Вами.

Главная Новости Обзор основных киберугроз для платформы Android от DRWEB
Обзор основных киберугроз для платформы Android от DRWEB
85
15 марта 2011

Обзор основных киберугроз для платформы Android от DRWEB

Android.SmsSend — горячая семейка СМС-троянцев

Одно из первых упоминаний этого троянца относится к 4 августа 2010 года. Казалось бы, совсем недавно. Однако не стоит удивляться. Мобильный рынок очень динамичен, и вирусописателям также приходится проявлять изобретательность и действовать быстро.

Именно в тот день пользователь известного российского форума 4pda.ru/forum, посвященного мобильным телефонам, смартфонам и КПК, пожаловался на некую программу-видеоплеер, закачивающуюся с определенного сайта. В разрешениях к этой программе была указана работа с СМС, а точнее их отправка — permission.SEND_SMS. На следующий день на том же форуме еще один пользователь сообщил о данном файле. Распространялся он с именем RU.apk. Файл имел иконку видеоплеера и носил соответствующее имя: MoviePlayer. Интересная деталь: дата создания файлов внутри пакета — 29 июля 2010 года. Получается, что троянец безнаказанно распространялся почти неделю.

Пользователи форума отправили подозрительный файл в антивирусные компании 5 августа. Тогда же Android.SmsSend.1 был добавлен в вирусные базы Dr.Web. Чуть позднее этот же вредоносный объект добавили в свои базы (под принятыми у себя наименованиями) и зарубежные производители антивирусов.

7 сентября 2010 года на известном сайте http://www.mobile-review.com в разделе, посвященном системе Android, вышла небольшая заметка от компании «Доктор Веб», повествующая уже о новой версии Android.SmsSend, которая отличалась изменившейся иконкой и названием пакета.

Новая модификация была добавлена в вирусные базы в тот же день, 7 сентября 2010 года, под именем Android.SmsSend.2. Как и при обнаружении Android.SmsSend.1, детектирование в зарубежных антивирусных продуктах появилось чуть позднее, что вполне логично, учитывая, что троянцы данного семейства нацелены на пользователей смартфонов в России.

Практически месяц об СМС-троянцах для Android ничего не было слышно, за исключением бурных дискуссий касательно уже обнаруженных версий. Их появление вызвало немало споров как среди специалистов, так и среди обычных пользователей. Кто-то считал, что подхватить такой троянец невозможно, если соблюдать элементарные правила — быть внимательным, особенно оказавшись на подозрительном сайте, проверять разрешения для программ при установке. Другие оппонировали — невнимательность и любопытство свойственны людям, и никакая осторожность при посещении сомнительных ресурсов не гарантирует полную защиту от угроз.

14 октября 2010 года в СМИ появилась информация об обнаружении новой версии СМС-троянца. Ее создатели вернули первоначальную иконку плеера; имя распространяемого пакета было прежнее: pornoplayer.apk. Соответствующее обновление баз Dr.Web произошло еще 11 октября.

Этот троянец интересен способом проникновения на смартфоны жертв. Владельцы сайтов с контентом для взрослых (о сайтах других категорий пока ничего не известно) в рамках партнерской программы могу добавлять на свои страницы функцию загрузки троянца. Но хитрость заключается в том, что Android.SmsSend  будет загружен только тогда, когда посещение сайта происходит с браузера мобильного устройства. В случае Android-смартфона при посещении такого сайта без согласия пользователя будет загружен СМС-троянец для ОС Android. Пользователь может ничего и не заметить, кроме быстро исчезающего системного сообщения о начале загрузки. В дальнейшем, случайно или из любопытства, владелец смартфона может установить программу, а пикантное название или невнимательность в свою очередь приведут к ее запуску. Если же зайти на такие сайты с другого мобильного устройства, например обычного сотового телефона, то загружаться будет СМС-троянец, написанный на J2ME. Если на подобный сайт зайти с обычного компьютера, троянец не будет загружен, а браузер в большинстве случаев откроет искомый сайт или домашнюю страницу одного из известных поисковиков.