Открыть главное меню

15 октября 2014

Android в опасности

В июне 2014 года специалистами по информационной безопасности был обнаружен СМС-троян Selfmite.a. Он отправлял ссылку на установщик APK-файла с вредоносным кодом, первым 20 контактам в телефонной книге.

Новая версия трояна для Android Selfmite.b распространяется и опустошает кошелёк пользователя с большей агрессией. Selfmite.b тоже является СМС-червём с аналогичной функциональностью, но имеет другой подход. Его код вводится в троянскую версию законного Google Plus, которое появляется после вредоносной установки. Это первое отличие от начальной версии Selfmite. Во-вторых, Selfmite.b использует конфигурационный файл, который загружается червем по hxxp: //209.190.28.50/setting.php, где и содержится СМС, URL и другие данные.

Selfmite.b отправляет сообщения всем контактам, и делает это по кругу, говорят в компании AdaptiveMobile. Червь использует СМС текст «Привет, приятель, попробуй это. http: //x.co/5****» или «Эй, попробуй это, это очень круто. http: // х.co / 5 ****», т.е. ссылку на файл APK, сокращённую при помощи сервиса x.co. Эксперты считают, что в будущем авторы вируса могут использовать и другой сервис. После того как пользователь скачает и установит файл, Selfmite.b заражает систему и приступает к рассылке сообщений, содержащих вредоносную ссылку, по всем контактам пользователя.

По сравнению с первой версией этот вирус генерирует в 100 раз больше трафика, и в среднем с одного устройства отправляется 1500 сообщений. Если пользователь не имеет безлимитных СМС, это может стоить немалых денег. Кроме того, есть опасность быть заблокированным за спам.

Аналитик AdaptiveMobile, Денис Масленников утверждает:

«По нашим данным, Selfmite.b ответственен за рассылку свыше 150 тысяч сообщений за последние десять дней с чуть более ста зараженных устройств.»

Создатели вируса не только разоряют пользователей Andriod, но и зарабатывают сами. Главная цель Selfmite — приносить доход своим создателям по модели PPI (Pay-Per-Install), рекламируя различные приложения и сервисы. Помимо СМС-рассылок Selfmite создаёт два ярлыка, на Mobogenie и Mobo Market, нажав на которые пользователь переходит на веб-сайты с платными услугами и приложениям. В этой версии вируса создатели отслеживают IP адрес жертвы, и в зависимости от его местоположения (страны) открывается тот или иной сайт. Также они получают доход за счёт несанкционированного показа рекламы в браузере телефона. Когда пользователь нажимает на троянское приложение Google Play, Selfmite пытается указывать на конкретное приложение в Google Play (какое именно, зависит от текущего файла конфигурации). Когда же пользователь выходит из Google Play, в браузере открывается нежелательный сайт подписки.

Не только пользователи ОС Android страдают от этого вируса. Если по ссылке в СМС перейдёт пользователь iOS-гаджета, то его перенаправляют на одно из фитнес-приложений в App Store.

В AdaptiveMobile пишут, что они сообщили Go Daddy о вредоносных URL-адресах x.co и на данный момент они были деактивированы. Но авторы червя смогут изменить удаленно используемый файл конфигурации, что может вызвать сложности по борьбе с ним.

Selfmite.a в основном угрожал пользователям Andriod в Северной Америке, но Selfmite.b был найден на Android-устройствах как минимум в 16 странах, включая такие крупные как Россия, Канада, Китай, Индия.

По состоянию на 14 октября 2014 года обнаружено более 200 заражённых устройств. В AdaptiveMobile сообщают, что изменений в файле setting.php, откуда и берёт всю информацию вирус, не обнаружено. Там располагаются URL-адреса, которые были заблокированы. Таким образом червь не может распространяться дальше, если, конечно, адреса не было изменены.

 

ИсточникиПравить


Статья «СМС-вирус угрожает пользователям Android» создана участником Sikhonina в рамках заданий по созданию и улучшению статей в проектах Викимедия на научную тему для получения допуска к зачёту/экзамену по предмету «Интернет-математика» в ПетрГУ (преподаватель: Andrew Krizhanovsky).


 

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.