hronika.info
Технологии

Очередная уязвимость в Android используется новым трояном для сокрытия от вирусов

Очередная уязвимость в Android используется новым трояном для сокрытия от вирусовКомпания «Доктов Веб» сообщает о новом трояне на платформе Android, который предназначен для кражи конфиденциальной информации в южнокорейских пользователей. По своей функциональности он напоминает другие вредоносные программы, но во время его разработки злоумышленники использовали уязвимость операционной системы Android для того, чтобы троян обходил проверку антивирусными программами. Это значительно увеличивает потенциальную опасность для владельцев устройств на Android. На сегодняшний день он в основном распространен в Южной Корее, но в будущем вполне возможно, что его различные модификации начнут появляться в других странах.

Android.Spy.40.origin с помощью нежелательных СМС-сообщений с ссылками на apk-файл распространяется среди южнокорейских пользователей. Данный способ распространения вредоносных программ для ОС Android является самым популярным среди киберпреступников в Юго-Восточной Азии (преимущественно в Японии и Южной Корее). После того, как пользователь установил и запустил Android.Spy.40.origin, троян запрашивает доступ к функциям администратора мобильного устройства, а затем удаляет свой ярлык с главного экрана, скрыто продолжая свою работу.

Далее вредоносная программа соединяется с удаленным сервером для получения дальнейших указаний. Android.Spy.40.origin, например, способен выполнить такие действия:

— Перехват входящих СМС-сообщений и загрузка их на удаленный сервер (от пользователя сообщения скрываются).
— Блокировка исходящих звонков.
— Отправка на сервер списка установленных программ и списка контактов.
— Установка или удаление определенного приложения, которое указывается в поступившей команде.
— Отправка СМС с указанным текстом на заданный в команде номер.

Вредоносная программа представляет серьезную угрозу для владельцев Android-устройств, потому что в СМС-сообщениях, которые она перехватывает, может содержаться конфиденциальная информация в виде как личной, так и деловой переписки, данных о банковских реквизитах, а также одноразовых кодах mTAN, предназначенных для защиты финансовых операций. Более того, список контактов, полученный киберпреступниками, впоследствии может использоваться для организации массовых фишинг-атак и СМС-рассылок.

Но ключевой особенностью Android.Spy.40.origin является избежание детектирования существующими антивирусными программами, благодаря использованию уязвимости ОС Android. Для этого хакеры внесли специальные изменения в apk-файла (apk-файл является стандартным zip-архивом с другим расширением).

В соответствии со спецификацией формата zip, заголовок архива для каждого файла в нем имеет специальное поле General purpose bit flag. Установлен нулевой бит в этом поле указывает на зашыфрованость файлов в архиве (защита паролем). Если говорить другими словами, то, несмотря на отсутствие пароля, архив все равно будет обрабатываться как защищенный.

Читайте также: Вредоносные программы чаще всего атакуют Android

В обычных условиях при распаковке такого zip-файла выдается соответствующее уведомление о необходимости введения пароля, однако в случае с Android алгоритм обработки подобных архивов содержит ошибку, из-за которой установленный нулевой бит игнорируется, таким образом, выполняется установка программы. В отличие от операционной системы, которая имеет данную ошибку, различное антивирусное программное обеспечение должно правильно обрабатывать поле General purpose bit flag, считая файл защищенным паролем и не сканируя его даже в том случае, если запись о вредоносном файле в apk содержится в вирусной базе.

Рекомендуем прочитать

Газонокосилки роботы: будущее заботы о газоне

OSHU

Почему человек не сможет контролировать искусственный интеллект

OSHU

Дипфейки на Тейлор Свифт вызвали призывы к принятию специального законодательства в США

OSHU