ANDROID: J2ME-миграция

Популярность платформы Android с каждым днем растет, и внимание вирусописателей все больше и больше сосредоточивается на этой уже распространенной платформе.

Наряду с «тяжелыми» вредоносными программами семейств Trojan-Spy.AndroidOS.Nickspy или Trojan-Spy.AndroidOS.Geinimi, стали появляться более простые с точки зрения функционала и вида вредоносные приложения. Такие как Trojan-SMS.AndroidOS.Opfake, полностью идентичные по функционалу семейству Trojan-SMS.J2ME.OpFake.

Что же является их первоисточником? Все очень просто: имея налаженную технологию автоматического (или ручного) создания таких объектов, как Trojan-SMS.J2ME.OpFake, написанных на языке JAVA, очень просто конвертировать их в формат виртуальной машины DALVIK, то есть в dex-файл, являющийся частью архива APK. С одной стороны — к счастью, а с другой — к сожалению, ресурсы сети Internet уже начали пестреть такими конверторами. И как следствие, начали появляться приложения, предназначенные для разных платформ (java classы и dex-файлы), но абсолютно идентичные по функционалу. При этом нет затрат на установку среды разработки для ANDROID, не нужно ничего компилировать.

Основная цель Trojan-SMS.AndroidOS.Opfake такая же, как и у первоисточника, — отправка платных SMS на короткие номера премиум-диапазона и опустошение счета жертвы. В случае устройств с виртуальной машиной JAVA, где виртуальная машина перехватывает отправку SMS и выводит подтверждение пользователю (вирусописатели и это научились обходить, заставляя жертву нажать на кнопку OK более 40-50 раз подряд), еще можно было пресечь действия вредоносного приложения и исключить обнуление счета. В Android нет таких предупреждений и отправка осуществляется абсолютно незаметно, если приложение уже было установлено и пользователь дал согласие на все запрошенные разрешения.

Растущая популярность платформы, простота написания приложений, возможность миграции с J2ME-платформы — все это способствовало тому,что примитивные троянские приложения для Android стали появляться во много раз чаще.

Об этом говорит частое появление новых модификаций популярных семейств вредоносного ПО в коллекции Лаборатории Касперского.

Семейство Trojan-SMS.AndroidOS.Opfake насчитывает уже семь модификаций, при этом первая из них появилась всего-навсего месяц назад. Trojan-SMS.AndroidOS.Jifake насчитывает 23 модификации и ведет свою историю с апреля 2011 года.

Наряду с перекомпиляцией своих приложений, вирусописатели все чаще совершенствуют свои технологии заражения пользователей. Буквально год назад основным способом заражения была социальная инженерия и мобильный SMS-спам. Теперь же зафиксированы случаи целевой атаки именно на ANDROID-устройства. Происходит эта атака путем анализа USER AGENT браузера смартфона и дальнейшей отдачи ему конкретного сэмпла, ориентированного на работу с этим устройством.

Думаю, уже мало кого удивишь спамом в ICQ или SMSкой вида «Вам пришла фотка от Кати» со ссылкой на вредоносный JAR-объект. Но как показала практика, теперь встречаются ссылки уже на APK-архивы — такие как Trojan-SMS.AndroidOS.Fosms.a, недавно обнаруженный Лабораторией Касперского. Ссылка на этот зловред пришла нашему пользователю в виде ICQ-спама. Совершенно простое приложение с точки зрения функционала. Код и поведение зловреда идентичны различным модификациям Trojan-SMS.J2ME.Agent.

Класс, содержащий номер и префикс:

Отправка сообщения:

Единственный шанс, оставленный ОС Android чтобы обезопасить пользователя, — это список разрешений, требуемых приложению. Они должны вызывать сомнение и настораживать.