Android.SmsSend — горячая семейка СМС-троянцев
Одно из первых упоминаний этого троянца относится к 4 августа 2010 года. Казалось бы, совсем недавно. Однако не стоит удивляться. Мобильный рынок очень динамичен, и вирусописателям также приходится проявлять изобретательность и действовать быстро.
Именно в тот день пользователь известного российского форума 4pda.ru/forum, посвященного мобильным телефонам, смартфонам и КПК, пожаловался на некую программу-видеоплеер, закачивающуюся с определенного сайта. В разрешениях к этой программе была указана работа с СМС, а точнее их отправка — permission.SEND_SMS. На следующий день на том же форуме еще один пользователь сообщил о данном файле. Распространялся он с именем RU.apk. Файл имел иконку видеоплеера и носил соответствующее имя: MoviePlayer. Интересная деталь: дата создания файлов внутри пакета — 29 июля 2010 года. Получается, что троянец безнаказанно распространялся почти неделю.
Пользователи форума отправили подозрительный файл в антивирусные компании 5 августа. Тогда же Android.SmsSend.1 был добавлен в вирусные базы Dr.Web. Чуть позднее этот же вредоносный объект добавили в свои базы (под принятыми у себя наименованиями) и зарубежные производители антивирусов.
7 сентября 2010 года на известном сайте http://www.mobile-review.com в разделе, посвященном системе Android, вышла небольшая заметка от компании «Доктор Веб», повествующая уже о новой версии Android.SmsSend, которая отличалась изменившейся иконкой и названием пакета.
Новая модификация была добавлена в вирусные базы в тот же день, 7 сентября 2010 года, под именем Android.SmsSend.2. Как и при обнаружении Android.SmsSend.1, детектирование в зарубежных антивирусных продуктах появилось чуть позднее, что вполне логично, учитывая, что троянцы данного семейства нацелены на пользователей смартфонов в России.
Практически месяц об СМС-троянцах для Android ничего не было слышно, за исключением бурных дискуссий касательно уже обнаруженных версий. Их появление вызвало немало споров как среди специалистов, так и среди обычных пользователей. Кто-то считал, что подхватить такой троянец невозможно, если соблюдать элементарные правила — быть внимательным, особенно оказавшись на подозрительном сайте, проверять разрешения для программ при установке. Другие оппонировали — невнимательность и любопытство свойственны людям, и никакая осторожность при посещении сомнительных ресурсов не гарантирует полную защиту от угроз.
14 октября 2010 года в СМИ появилась информация об обнаружении новой версии СМС-троянца. Ее создатели вернули первоначальную иконку плеера; имя распространяемого пакета было прежнее: pornoplayer.apk. Соответствующее обновление баз Dr.Web произошло еще 11 октября.
Этот троянец интересен способом проникновения на смартфоны жертв. Владельцы сайтов с контентом для взрослых (о сайтах других категорий пока ничего не известно) в рамках партнерской программы могу добавлять на свои страницы функцию загрузки троянца. Но хитрость заключается в том, что Android.SmsSend будет загружен только тогда, когда посещение сайта происходит с браузера мобильного устройства. В случае Android-смартфона при посещении такого сайта без согласия пользователя будет загружен СМС-троянец для ОС Android. Пользователь может ничего и не заметить, кроме быстро исчезающего системного сообщения о начале загрузки. В дальнейшем, случайно или из любопытства, владелец смартфона может установить программу, а пикантное название или невнимательность в свою очередь приведут к ее запуску. Если же зайти на такие сайты с другого мобильного устройства, например обычного сотового телефона, то загружаться будет СМС-троянец, написанный на J2ME. Если на подобный сайт зайти с обычного компьютера, троянец не будет загружен, а браузер в большинстве случаев откроет искомый сайт или домашнюю страницу одного из известных поисковиков.
