Опасный троянец скрывается в официальной Android-прошивке

Тема в разделе "Новости мобильных технологий", создана пользователем лис.хвост, 29 сен 2015.

  1. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    630
    Симпатии:
    983
    [​IMG]
    Обычно для заражения Android-смартфонов и планшетов злоумышленники прибегают к весьма тривиальному способу: используя различные приемы социальной инженерии, они просто-напросто обманом заставляют своих жертв самостоятельно выполнить установку того или иного вредоносного приложения.

    Однако данная методика – не единственная в арсенале вирусописателей. Так, специалисты компании «Доктор Веб» продолжают отмечать случаи, когда Android-троянцы уже предустановлены на мобильные устройства в качестве системных приложений и незаметно для их владельцев осуществляют вредоносную деятельность. Очередной такой инцидент, «героем» которого стал бэкдор Android.Backdoor.114.origin, был зафиксирован нашими вирусными аналитиками совсем недавно, пишет drweb.ru.

    Само вредоносное приложение Android.Backdoor.114.origin уже известно специалистам «Доктор Веб»: первые случаи его применения киберпреступниками были зафиксированы больше года назад, и с тех пор данный троянец уже не раз становился настоящей головной болью для пользователей. Дело в том, что этот бэкдор внедряется неустановленными злоумышленниками непосредственно в прошивку мобильных устройств и, соответственно, функционирует в качестве системного приложения. Как результат – удаление троянца стандартными способами становится практически неосуществимым: пользователю требуются либо root-привилегии, получить которые не всегда возможно, а зачастую даже опасно, либо установка заведомо «чистого» образа операционной системы с последующей потерей всех имеющихся данных, для которых не была создана резервная копия.

    Android.Backdoor.114.origin

    Добавлен в вирусную базу Dr.Web: 2015-09-19
    Описание добавлено: 2015-09-18
    SHA1: 0fa5de0dab4d140d2aaec74279ffbae89ab90429
    de52bed8e2c5e0198f379098d4fd3ce433a8d81d

    Троянец-бэкдор, работающий на мобильных устройствах под управлением ОС Android. Может распространяться в модифицированных вирусописателями безобидных приложениях, а также быть предустановленным злоумышленниками непосредственно на смартфоны и планшеты, приобретаемые пользователями. Некоторые версии Android.Backdoor.114.origin могут распространяться другими вредоносными программами, в частности, троянцем Android.Backdoor.213.origin, который вначале пытается удалить из системного каталога одно из оригинальных приложений, после чего устанавливает вместо него троянскую версию, содержащую одну из модификаций Android.Backdoor.114.origin.

    По команде управляющего сервера троянец способен активировать отключенную опцию установки приложений из непроверенных источников, а также может скачивать, инсталлировать и удалять программы без ведома пользователя.

    Об очередном случае заражения мобильных устройств пользователей троянцем Android.Backdoor.114.origin вирусным аналитикам «Доктор Веб» стало известно в середине сентября. В частности, новыми жертвами бэкдора стали владельцы Android-планшета Oysters T104 HVi 3G, на котором вредоносная программа скрывается в предустановленном приложении c именем GoogleQuickSearchBox.apk. Производитель данной модели был уведомлен о наличии проблемы, однако на момент публикации этого материала доступная для загрузки официальная версия прошивки аппарата не претерпела никаких изменений и по-прежнему содержит в себе бэкдор.

    Android.Backdoor.114.origin собирает и отправляет на управляющий сервер широкий спектр информации о зараженном устройстве. В зависимости от своей модификации, он может передавать злоумышленникам следующие сведения:
    • уникальный идентификатор устройства;
    • MAC-адрес Bluetooth-передатчика;
    • тип зараженного устройства (смартфон или планшет);
    • параметры из конфигурационного файла троянца;
    • MAC-адрес устройства;
    • IMSI-идентификатор;
    • версию вредоносного приложения;
    • версию операционной системы;
    • версию API операционной системы;
    • тип сетевого подключения;
    • название программного пакета троянца;
    • идентификатор страны;
    • разрешение экрана;
    • название производителя устройства;
    • название устройства;
    • объем занятого места на SD-карте;
    • доступный объем памяти на SD-карте;
    • объем занятого места во внутренней памяти устройства;
    • доступный объем внутренней памяти устройства;
    • список установленных приложений в системном каталоге;
    • список приложений, установленных пользователем.
    Однако основное предназначение Android.Backdoor.114.origin – незаметная загрузка, установка и удаление приложений по команде управляющего сервера. Примечательно, что троянец способен самостоятельно активировать отключенную опцию установки ПО из непроверенных источников, если данная функция изначально была неактивна. В результате, даже если владелец зараженного устройства соблюдает рекомендованные меры безопасности, это ему не поможет, т. к. бэкдор все равно изменит соответствующие настройки и сможет незаметно инсталлировать всевозможные рекламные, нежелательные и откровенно опасные вредоносные программы.
     
    SNS-amigo, Phoenix, orderman и 2 другим нравится это.

Поделиться этой страницей