Согласно данным SecureWorks, многофункциональный троянец Stels, работающий на платформе Android, ныне распространяется вместе с р2р-модификацией ZeuS в рамках единой спам-кампании с участием ботнета Cutwail.
Обнаруженные экспертами вредоносные письма имитируют уведомление Налоговой службы США (IRS) и приурочены к заключительному этапу подачи налоговых деклараций в этой стране. От имени этого органа злоумышленники сообщают получателю об ошибках, якобы допущенных в поданном им документе, и предлагают кликнуть по указанной ссылке, чтобы воспользоваться другой формой.
Пройдя по ссылке, пользователь попадает на взломанный ресурс, который определяет версию ОС визитера и используемый им веб-браузер. Если заход осуществлен с мобильного устройства на базе Google Android, посетителю демонстрируется страница с предложением обновить Flash Player для корректного отображения контента. Под видом апдейта на смартфон загружается исполняемый файл flashplayer.android.update.apk, содержащий троянца Stels. Для его установки требуется разрешение пользователя, а кроме того, поскольку программа загружена не с официального сайта Google Play, жертва должна задействовать опцию «Unknown Sources» в настройках безопасности, т.е. разрешить установку приложения из стороннего источника.
Если получатель фальшивого письма использует Microsoft IE, Mozilla Firefox или Opera, то после перехода по спамерской ссылке ему будет продемонстрирована поддельная страница IRS с вредоносным iframe, перенаправляющим браузер на эксплойт-площадку Blackhole. Мало того, все ссылки на данной странице запускают вредоносный pdf-файл, который атакует уязвимость CVE-2010-0188 в Adobe Reader/Acrobat. В случае успешной эксплуатации на машину жертвы загружается р2р-версия ZeuS, известная как Gameover. Если визитер не использует ни Android, ни названные браузеры, его перенаправляют на мошеннический сайт по трудоустройству.
Эксперты SecureWorks проанализировали образцы Stels и установили, что данный Android-троянец способен воровать информацию из списка контактов жертвы, отправлять и перехватывать SMS-сообщения, осуществлять звонки на премиум-номера, а также загружать и запускать на исполнение другие вредоносные файлы. Он работает в фоновом режиме, общается с центром управления по HTTP и, судя по всему, умеет также рассылать почтовый спам, используя анонимный прокси-сервис anonymouse.org. Эксперты обнаружили других похитителей SMS, схожих по кодовой базе со Stels, и полагают, что все они происходят из одного источника или созданы на основе одного и того же тулкита.
Следует отметить, что спам-рассылки — довольно необычный способ распространения Android-зловредов, которые, как правило, скачиваются жертвами из неофициальных магазинов приложений. Так, более ранние варианты Stels, обнаруженные экспертами F-Secure в конце прошлого года, раздавались с веб-портала spaces.ru под видом бесплатных версий игр и вспомогательного ПО для Android.
Android-троянцы приходят с почтовым спамом