Android-троян распространяется при помощи SMS-сообщений
В начале ноября специалисты компании «Доктор Веб» обнаружили вредоносную программу, представляющую собой опасного бота, способного по команде злоумышленников отправлять SMS, удалять установленные программы и файлы пользователей, красть конфиденциальную информацию, атаковать веб-сайты и выполнять на зараженном устройстве множество других нежелательных действий.
Как сообщили CNews в «Доктор Веб», новая Android-угроза внесена в вирусную базу Dr.Web под именем Android.Wormle.1.origin. Вредоносная программа реализует функционал SMS-червя, распространяясь среди владельцев Android-устройств при помощи SMS-сообщений, содержащих ссылку на загрузку копии вредоносной программы. Например, такие сообщения могут иметь следующий вид: «Я тебя люблю http://[]app.ru/*number*», где «number» — номер получателя SMS.
Подобные сообщения рассылаются по всем телефонным номерам из книги контактов пользователей, поэтому за короткий промежуток времени Android.Wormle.1.origin способен заразить большое число мобильных устройств, значительно увеличив размер созданной киберпреступниками бот-сети. Полученная специалистами «Доктор Веб» статистика показывает, что на данный момент вредоносная программа успела инфицировать более 14 тыс. Android-смартфонов и планшетов, принадлежащих пользователям из более чем 20 стран. Наибольшее число — 12 946 (или 91,49%) — инфицированных трояном мобильных устройств находится в России. Далее с заметным отставанием следуют устройства из Украины (0,88%), США (0,76%), Беларуси (0,51%), Казахстана (0,25%), Узбекистана (0,21%), а также Таджикистана (0,15%). Географическое распределение созданного Android.Wormle.1.origin мобильного ботнета представлено на следующей иллюстрации:
После установки троян не создает ярлык на главном экране операционной системы и функционирует на зараженном устройстве в качестве системного сервиса с именем com.driver.system. Android.Wormle.1.origin устанавливает соединение с командным центром, после чего ожидает поступления дальнейших указаний злоумышленников. Примечательно, что управление ботом может выполняться киберпреступниками как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging — сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google.
По информации «Доктор Веб», Android-троян обладает обширным функционалом. В частности, бот способен выполнить следующие действия: отправить SMS-сообщение с заданным текстом на один или несколько номеров, указанных в команде; разослать SMS-сообщение с заданным текстом по всем номерам из телефонной книги; занести в черный список определенный телефонный номер, чтобы заблокировать поступающие с него SMS-сообщения, а также звонки; выполнить USSD-запрос (номер, с которого планируется получить ответ на произведенный запрос, заносится в черный список в соответствии с отданной командой — это сделано для того, чтобы заблокировать получение пользователем ответных сообщений); переслать на управляющий сервер информацию обо всех полученных SMS-сообщениях, а также совершенных звонках; включить диктофонную запись, либо остановить ее, если запись уже ведется; получить информацию об учетных записях, привязанных к зараженному устройству, обо всех установленных приложениях, о списке контактов, о мобильном операторе, об установленной версии ОС, о стране, в которой зарегистрирована SIM-карта, о телефонном номере жертвы, о хранящихся на карте памяти файлах и каталогах; удалить указанное в команде приложение (для этого троян демонстрирует специально сформированное диалоговое окно, призванное заставить пользователя выполнить удаление); загрузить на управляющий сервер zip-архив, содержащий указанный в команде файл или каталог; удалить заданный файл или каталог; удалить все хранящиеся на устройстве SMS-сообщения; выполнить DDoS-атаку на указанный в команде веб-ресурс; установить связь с управляющим сервером, используя специальные параметры; изменить адрес управляющего сервера; очистить черный список номеров.
Таким образом, Android.Wormle.1.origin позволяет киберпреступникам решать самые разные задачи, начиная с рассылки платных SMS-сообщений и кражи конфиденциальных данных и заканчивая организацией DDoS-атак на различные веб-сайты. Кроме того, функционал вредоносной программы позволяет злоумышленникам получить доступ к банковским счетам пользователей, поэтому данный бот может использоваться и в качестве банковского трояна, что расширяет сферу его применения, подчеркнули в компании.
Специалисты «Доктор Веб» продолжают наблюдать за развитием ситуации. Запись для детектирования этой угрозы была оперативно внесена вирусную базу, поэтому пользователи «Антивируса Dr.Web для Android» и «Антивируса Dr.Web для Android Light» защищены от данного трояна.