Android.Spy.40.origin с помощью нежелательных СМС-сообщений с ссылками на apk-файл распространяется среди южнокорейских пользователей. Данный способ распространения вредоносных программ для ОС Android является самым популярным среди киберпреступников в Юго-Восточной Азии (преимущественно в Японии и Южной Корее). После того, как пользователь установил и запустил Android.Spy.40.origin, троян запрашивает доступ к функциям администратора мобильного устройства, а затем удаляет свой ярлык с главного экрана, скрыто продолжая свою работу.
Далее вредоносная программа соединяется с удаленным сервером для получения дальнейших указаний. Android.Spy.40.origin, например, способен выполнить такие действия:
— Перехват входящих СМС-сообщений и загрузка их на удаленный сервер (от пользователя сообщения скрываются).
— Блокировка исходящих звонков.
— Отправка на сервер списка установленных программ и списка контактов.
— Установка или удаление определенного приложения, которое указывается в поступившей команде.
— Отправка СМС с указанным текстом на заданный в команде номер.
Вредоносная программа представляет серьезную угрозу для владельцев Android-устройств, потому что в СМС-сообщениях, которые она перехватывает, может содержаться конфиденциальная информация в виде как личной, так и деловой переписки, данных о банковских реквизитах, а также одноразовых кодах mTAN, предназначенных для защиты финансовых операций. Более того, список контактов, полученный киберпреступниками, впоследствии может использоваться для организации массовых фишинг-атак и СМС-рассылок.
Но ключевой особенностью Android.Spy.40.origin является избежание детектирования существующими антивирусными программами, благодаря использованию уязвимости ОС Android. Для этого хакеры внесли специальные изменения в apk-файла (apk-файл является стандартным zip-архивом с другим расширением).
В соответствии со спецификацией формата zip, заголовок архива для каждого файла в нем имеет специальное поле General purpose bit flag. Установлен нулевой бит в этом поле указывает на зашыфрованость файлов в архиве (защита паролем). Если говорить другими словами, то, несмотря на отсутствие пароля, архив все равно будет обрабатываться как защищенный.
Читайте также: Вредоносные программы чаще всего атакуют Android
В обычных условиях при распаковке такого zip-файла выдается соответствующее уведомление о необходимости введения пароля, однако в случае с Android алгоритм обработки подобных архивов содержит ошибку, из-за которой установленный нулевой бит игнорируется, таким образом, выполняется установка программы. В отличие от операционной системы, которая имеет данную ошибку, различное антивирусное программное обеспечение должно правильно обрабатывать поле General purpose bit flag, считая файл защищенным паролем и не сканируя его даже в том случае, если запись о вредоносном файле в apk содержится в вирусной базе.