Ботнет Cutwail распространяет троян для Android

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 9 апр 2013.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Stels загружается на системы, маскируясь под обновления для Adobe Flash Player.

    Ботнет Cutwail, распространяющий банковский троян Zeus, в настоящее время пытается рассылать новый троян Stels, инфицирующий системы, работающие на базе Android. Как сообщила команда безопасности компании Dell (SecureWorks Counter Threat Unit, STU), Stels загружается на устройства, маскируясь под обновления для Adobe Flash Player.

    [​IMG]

    Злоумышленники также предусмотрели вариант для систем, работающих на других платформах. Вредоносные спам-ссылки открываются в браузерах на стационарных компьютерах или ноутбуках и направляют пользователя на web-страницу, содержащую набор эксплоитов Blackhole.

    Исследователи STU провели анализ образца Stels и выявили характеристики:

    Filename: flashplayer.android.update.apk

    MD5: b226a66a2796e922302b96ae81540d5c

    SHA1: 670503ed863397d64bfe24ca0940be9c23682ae4

    Троян распространяется следующим образом: сначала пользователь получает электронное письмо, посланное якобы Налоговым управлением США. Когда он нажимает на ссылку, содержащуюся в письме, вредоносный сценарий определяет, используется ли устройство, работающее на базе Android. Если система использует платформу Android, пользователю предлагается установить обновление для Adobe Flash Player. Для установления необходимо разрешить установления приложений из неизвестных источников. Троян загружается на систему, когда пользователь дает такое разрешение. Далее Stels загружает бэкдоры и другое вредоносное ПО.

    [​IMG]

    Если пользователь работает с другой платформой, в браузерах Internet Explorer, Mozilla Firefox или Opera, он перенаправляется на страницу, содержащую набор эксплоитов. Далее вредоносное ПО использует устаревшие плагины браузера для инфицирования системы.

    Stels получает доступ к списку контактов пользователя и может рассылать платные текстовые сообщения, а также совершать телефонные звонки. Тем не менее, троян не проникает в Android слишком глубоко. Так, по словам экспертов, он не получает доступ к ядру ОС. Кроме того, фальшивое обновление для Adobe Flash Player легко идентифицируется среди активных приложений. Также подозрение должно вызвать имя Appname, появляющееся при загрузке приложения.



    источник
     
    2 пользователям это понравилось.

Поделиться этой страницей