Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > Новые троянцы нацелились на Android-устройства с root-доступом

Новые троянцы нацелились на Android-устройства с root-доступом

Пятница, 4 мая 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e



Компания « Доктор Веб » предупреждает о появлении новых вредоносных программ для операционной системы Android. Под ударом находятся владельцы мобильных устройств, использующие систему с повышенными привилегиями.

Новые троянцы распространяются злоумышленниками вместе с легитимными приложениями через популярные сайты-сборники программного обеспечения и используют довольно интересный механизм работы. Вредоносные программы реализуют принцип «матрешки»: модифицированное приложение (детектируется Dr.Web как Android.MulDrop.origin.3) содержит другой программный пакет (apk-файл), который зашифрован. Фактически первое приложение является дроппером - своеобразным контейнером, служащим для доставки других вредоносных программ.

Немаловажной деталью является то, что создатели троянца в качестве основы для дроппера выбрали определенный тип приложений: системные утилиты, конфигураторы и т. д. Подобная разборчивость легко объясняется тем, что для работы большинства из них требуются права администратора, поэтому, когда после запуска такое приложение запрашивает root-доступ, пользователь может ничего не заподозрить.

В случае успешного получения необходимых привилегий Android.MulDrop.origin.3 расшифровывает скрытый в нем apk-файл и помещает его в системный каталог (//system//app// под именем ComAndroidSetting.apk). Как это ни удивительно, но данное приложение, добавленное в вирусные базы как Android.MulDrop.origin.4, также является дроппером. Как и Android.MulDrop.origin.3, он содержит зашифрованный apk-пакет. Троянец активируется после очередного запуска системы, расшифровывает и устанавливает скрытый внутри него программный пакет, который, в свою очередь, является троянцем-загрузчиком и детектируется как Android.DownLoader.origin.2.

Android.DownLoader.origin.2 также имеет функцию автозапуска. После старта системы он соединяется с удаленным сервером и получает список приложений, которые ему необходимо загрузить и установить. В этом списке могут находиться как другие вредоносные программы, так и вполне безобидные приложения. Все зависит лишь от фантазии злоумышленников и преследуемых ими целей.

Стоит отметить, что 28 апреля 2012 года специалисты «Доктор Веб» обнаружили другую версию дроппера. Как и Android.MulDrop.origin.3, Android.MulDrop.origin.2 распространяется на различных сайтах-сборниках ПО, однако функционирует несколько иначе. После запуска троянец пытается поместить на карту памяти спрятанный внутри него зашифрованный apk-файл, который предварительно расшифровывает. Одновременно с этим он демонстрирует в панели уведомлений сообщение, содержащее фразу «Android Patch 8.2.3». Если пользователь нажмет на это сообщение, запустится стандартный процесс установки, однако из-за ошибки, допущенной авторами дроппера, он не способен записать необходимый пакет на карту памяти, поэтому установка становится невозможной.

В случае если бы авторы троянца не допустили ошибку, в систему установился бы троянец-загрузчик Android.DownLoader.origin.1, который имеет возможность автоматического запуска при каждом включении мобильного устройства. После соединения с удаленным сервером он получает конфигурационный xml-файл со списком приложений, которые ему требуется загрузить и установить в систему. На устройствах, не подвергавшихся модификации, это действие потребует участия пользователя, однако владельцы систем с наличием root-доступа не должны заметить ничего подозрительного.

Проведенный анализ показал, что дроппер Android.MulDrop.origin.2 был создан теми же авторами, что и Android.MulDrop.origin.3. Можно предположить, что Android.MulDrop.origin.2 является пробой пера злоумышленников и служит тестовой платформой для обкатки их технологий.

#vk

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 282
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

18: 40
Смартфон ZTE Small Fresh 5 ценой $145 построен на SoC Qualcomm Snapdragon 425 и оснащен сдвоенной камерой |
18: 40
Роскомнадзор объяснил временную блокировку Google |
17: 40
Bluetooth-наушники Monster iSport Victory: выбор победителей |
17: 40
Новая иконка Siri косвенно подтверждает отсутствие кнопки Home у смартфона iPhone 8 |
17: 20
Новая иконка Siri в iOS 11 подтверждает виртуальную кнопку Home в iPhone 8 |
17: 00
Предприниматели из России накормит мир опарышами |
16: 40
UBER умирает на глазах: почему глава компании уволился? |
16: 00
Как купить OUKITEL K6000 Plus с хорошей скидкой |
15: 40
Роскомнадзор заблокировал немного Google |
15: 20
Адрес www.google.ru попал в список запрещённых в России сайтов из-за ФНС |
14: 40
Рынок носимой электроники к 2021 году вырастет почти вдвое |
14: 40
Специальные банкоматы «Альфа-банка» для Android Pay Apple Pay и Samsung Pay завезли в Россию |
14: 40
WD закроет лабораторию WDLabs |
14: 20
Сюрприз! Google выпустила обновление для очков Google Glass |
14: 20
В Казахстане запретят давать iPad детям |
14: 20
Медицина будущего: беспилотная мобильная поликлиника |
13: 40
Российские ученые создали уникальное оптоволокно, сохраняющее свойствa светa |
13: 40
Пентагон потратил 93 миллиона долларов на неправильный камуфляж |
13: 20
HEIF: новый фотоформат из iOS 11, который убьет JPEG |
13: 20
«Мы научимся лучше понимать наследственность или такие заболевания, как рак» |
12: 40
Nokia 3310 (2017) оказался на удивление прочным телефоном |
12: 40
ДА! Официальные ретро-игры SEGA будут доступны на iOS и Android |
12: 40
В Дубае появится 18-роторное летающее такси |
12: 40
Twist — командный мессенджер от разработчиков трекера задач Todoist |
12: 00
В смартфоне OnePlus 5 используется тот же дисплей, что и в OnePlus 3T |
12: 00
Каталог Pro Design пополнили модули proFPGA для быстрого создания прототипов с использованием FPGA Virtex UltraScale+ |
12: 00
Google заканчивает поддерживать Android 2.1 Eclair |
12: 00
SpaceX планирует колонизировать Марс |
12: 00
В сети появились фотографии золотого Elephone S8 |
12: 00
«ВКонтакте» и «Одноклассники» открыли денежные переводы для пользователей Казахстана |
11: 20
Переживая сильнейший кризис, Ricoh планирует значительные сокращения |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003