Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Главная > Новости бизнеса > Hi-Tech > Новые троянцы нацелились на Android-устройства с root-доступом

Новые троянцы нацелились на Android-устройства с root-доступом

Пятница, 4 мая 2012 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e



Компания « Доктор Веб » предупреждает о появлении новых вредоносных программ для операционной системы Android. Под ударом находятся владельцы мобильных устройств, использующие систему с повышенными привилегиями.

Новые троянцы распространяются злоумышленниками вместе с легитимными приложениями через популярные сайты-сборники программного обеспечения и используют довольно интересный механизм работы. Вредоносные программы реализуют принцип «матрешки»: модифицированное приложение (детектируется Dr.Web как Android.MulDrop.origin.3) содержит другой программный пакет (apk-файл), который зашифрован. Фактически первое приложение является дроппером - своеобразным контейнером, служащим для доставки других вредоносных программ.

Немаловажной деталью является то, что создатели троянца в качестве основы для дроппера выбрали определенный тип приложений: системные утилиты, конфигураторы и т. д. Подобная разборчивость легко объясняется тем, что для работы большинства из них требуются права администратора, поэтому, когда после запуска такое приложение запрашивает root-доступ, пользователь может ничего не заподозрить.

В случае успешного получения необходимых привилегий Android.MulDrop.origin.3 расшифровывает скрытый в нем apk-файл и помещает его в системный каталог (//system//app// под именем ComAndroidSetting.apk). Как это ни удивительно, но данное приложение, добавленное в вирусные базы как Android.MulDrop.origin.4, также является дроппером. Как и Android.MulDrop.origin.3, он содержит зашифрованный apk-пакет. Троянец активируется после очередного запуска системы, расшифровывает и устанавливает скрытый внутри него программный пакет, который, в свою очередь, является троянцем-загрузчиком и детектируется как Android.DownLoader.origin.2.

Android.DownLoader.origin.2 также имеет функцию автозапуска. После старта системы он соединяется с удаленным сервером и получает список приложений, которые ему необходимо загрузить и установить. В этом списке могут находиться как другие вредоносные программы, так и вполне безобидные приложения. Все зависит лишь от фантазии злоумышленников и преследуемых ими целей.

Стоит отметить, что 28 апреля 2012 года специалисты «Доктор Веб» обнаружили другую версию дроппера. Как и Android.MulDrop.origin.3, Android.MulDrop.origin.2 распространяется на различных сайтах-сборниках ПО, однако функционирует несколько иначе. После запуска троянец пытается поместить на карту памяти спрятанный внутри него зашифрованный apk-файл, который предварительно расшифровывает. Одновременно с этим он демонстрирует в панели уведомлений сообщение, содержащее фразу «Android Patch 8.2.3». Если пользователь нажмет на это сообщение, запустится стандартный процесс установки, однако из-за ошибки, допущенной авторами дроппера, он не способен записать необходимый пакет на карту памяти, поэтому установка становится невозможной.

В случае если бы авторы троянца не допустили ошибку, в систему установился бы троянец-загрузчик Android.DownLoader.origin.1, который имеет возможность автоматического запуска при каждом включении мобильного устройства. После соединения с удаленным сервером он получает конфигурационный xml-файл со списком приложений, которые ему требуется загрузить и установить в систему. На устройствах, не подвергавшихся модификации, это действие потребует участия пользователя, однако владельцы систем с наличием root-доступа не должны заметить ничего подозрительного.

Проведенный анализ показал, что дроппер Android.MulDrop.origin.2 был создан теми же авторами, что и Android.MulDrop.origin.3. Можно предположить, что Android.MulDrop.origin.2 является пробой пера злоумышленников и служит тестовой платформой для обкатки их технологий.

#vk

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 276
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

17: 40
Процессоры Intel линейки Skylake-SP для платформы Purley получат имена Xeon Gold и Xeon Platinum |
17: 20
Опубликован отчет Seagate за третий квартал 2017 финансового года |
17: 00
Что за ужасный дудл показывает Google? |
16: 20
Orico Moups — внешний аккумулятор на 100 000 мАч |
16: 20
Дизайнеры создали новый концепт iPhone Edition [видео] |
16: 20
Проблема с приложением Hyundai для Android позволяла беспрепятственно угонять автомобили |
16: 00
Полиция Дубая пересядет на российские ховербайки |
15: 20
В видеокартах Zotac GeForce GTX 1080 AMP Extreme+ и GeForce GTX 1060 AMP! Edition+ разогнаны и память, и GPU |
15: 20
Прошедший квартал завершился для Nokia очередным убытком |
15: 20
«Apple недостаточно понимает китайскую культуру, чтобы преуспеть на местном рынке» |
15: 00
UMIDIGI Crystal — безрамочный смартфон с рядовыми характеристиками |
15: 00
Cassini передал первые снимки Сатурна с близкого расстояния |
15: 00
«Яндекс» отчитался о снижении темпов роста квартальной выручки |
14: 40
Двухуровневая кровать размером с чемодан: самый компактный туристический гаджет |
14: 40
Объявлена награда за дроны, парализовавшие работу китайского аэропорта |
14: 20
Видеокарту GeForce GT 1030 стоимостью около 80 долларов могут представить 8 мая |
14: 20
Alibaba запустит платежную систему Alipay в России |
14: 20
Samsung подтверждает выпуск Note 8 во втором полугодии |
14: 20
Apple изобрела настоящую беспроводную Wi-Fi-зарядку |
14: 00
DJI M600 Pro — первый дрон, оснащённый 100-мегапиксельной камерой |
14: 00
Cube iWork8 Air Pro: 8-дюймовый планшет с 2 операционными системами |
14: 00
Samsung назвала розовые экраны Galaxy S8 нормой |
14: 00
Руководство Salesforce урезало зарплату генеральному директору Марку Бениоффу на 60% |
13: 20
OUKITEL снижает цену на смартфон с уникальной зарядкой |
13: 20
В Telegram появятся видеовызовы и платежная система |
13: 20
Telegram-каналы российских мобильных операторов |
13: 20
Яндекс объявляет финансовые результаты за I квартал 2017 года |
13: 00
Чертеж внутренней начинки iPhone 8 демонстрирует расположение SoC A11, двух аккумуляторов и прочих компонентов |
12: 20
Samsung Pay заработал с картами Visa банка «Открытие» |
12: 20
Bluetooth-наушники от Google «засветились» в Сети |
12: 00
Уже не исчезающие: 10 видов животных, чью популяцию восстановили |
Новости бизнесаСтатьиАналитические колонкиДеньгиКурс валютБизнес технологии
Rating@Mail.ru
Условия размещения рекламы

Наша редакция

Обратная связь

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Skype: rosinvest.com (Русский, English, Zhōng wén).

Архивы новостей за: 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003