Новый Android-троянец скрывается от антивирусов, используя очередную уязвимость

Новое троянское приложение, занесенное в базу компании «Доктор Веб» как Android.Spy.40.origin, атакует южнокорейских пользователей. Для распространения злоумышленники используют массовую SMS-рассылку, в которой содержится ссылка на вредоносный apk-файл. После инсталляции вирус запрашивает у пользователя администраторский доступ к мобильному устройству, после чего удаляет свою иконку с рабочего стола, продолжая работать в фоновом режиме.

Далее троянская программа устанавливает соединение с внешним сервером и ожидает получения дальнейших инструкций. Android.Spy.40.origin способен выполнять следующие действия:

  • перехват входящих сообщений и отправку их на сервер злоумышленников;
  • удаление или инсталляция определенной программы, которая указывается непосредственно в команде;
  • отправка SMS-сообщения с указанным текстом на заданный номер.

Главная особенность вредоносной программы заключается в использовании недавно обнаруженной серьезной уязвимости в платформе Android. Это позволяет вирусу скрываться от антивирусного ПО. Для этого злоумышленникам достаточно внести в apk-файл ряд изменений (файл apk представляет собой обычный zip-архив с другим расширением).

По спецификации расширения zip все файлы, упакованные в архив, имеют специальный параметр General purpose bit flag. Занесение в данное поле нулевого бита означает, что файлы внутри архива зашифрованы (имеют пароль). Другими словами, даже при отсутствии пароля архив будет обрабатываться как защищенный.
В случае с платформой Android алгоритм обработки таких архивов имеет ошибку – нулевой бит просто игнорируется, что приводит к инсталляции программы. При этом антивирусные приложения корректно обрабатывают параметр General purpose bit flag, считая, что архив защищен паролем. Это приводит к тому, что файл не сканируется на наличие вредоносного кода.

 

1 star2 star3 star4 star5 star (ОЦЕНИТЬ!)
Загрузка...
Прочее

 

Комментировать!

Вам понравится

Почему продвижение сайта так дорого стоит? Бытует мнение среди большинства владельцев сайтов и интернет-магазинов, что SEO продвижение сайта стоит очень дорого. Нередки случаи, когда заказывая раскрутку, они рассчитывают на...
Конкурент Process Lasso или почему пользователям этого приложения стоит присмотр... На рынке программного обеспечения достаточно быстро появляются лидеры, которым доверяют пользователи. Так, к примеру, в сфере обработки изображений одним из первых вспоминается Pho...
Как правильно выбрать жесткие диски (HDD), SSD Исходя из области применения, и стоит подбирать жесткие диски, равно как и твердотельные накопители (посмотреть ассортимент, предлагаемый разными производителями можно по ссылке ht...
Ремонт компьютера в специальных организациях. Нюансы.... Ремонт компьютеров включает очень широкий спектр услуг самой разной степени сложности. Иногда мастерам требуется совсем немного времени, чтобы разобраться с проблемой, а некоторые ...
Сколько пользователей Chrome пострадало от фальшивых блокировщиков рекламы?... Команда блокировщика рекламы AdGuard опубликовала интересную статистику. По их словам, жертвами фальшивых блокировщиков рекламы из магазина веб-приложений Chrome стали уже более 20...
Как оптимизировать интерфейс Chrome под планшет... В скрытых настройках Chrome появилась опция, позволяющая оптимизировать интерфейс браузера под использование на планшете. После её активации некоторые элементы становятся крупнее и...