Картина попыток заражения мобильным вредоносным ПО постоянно меняется, и об одной последней тенденции я хочу рассказать. За последний год мобильный троянец Trojan-SMS.AndroidOS.Stealer.a выбился в лидеры по количеству попыток заражения наших пользователей и теперь стабильно занимает первые места в списках актуальных угроз. Так, в первом квартале 2014 года на него пришлось чуть менее четверти всех задетектированных атак.
География
Причиной тому не только тот напор, с которым злоумышленники распространяют его в России, но и не прекращающиеся попытки атаковать пользователей из Европы и Азии. Случаи заражения этим SMS-троянцем зафиксированы повсеместно:
Есть ещё один фактор, который говорит о том, что троянец нацелен на пользователей из различных стран мира. Речь идёт о его конфигурационном файле. Дело в том, что троянец определяет, в каком регионе он запущен, и в зависимости от этого изменяет содержимое SMS и адресата. На данный момент территория «работы» Trojan-SMS.AndroidOS.Stealer.a включает следующие страны:
- Бельгия
- Франция
- Литва
- Латвия
- Россия
- Украина
- Беларусь
- Молдова
- Германия
- Армения
- Абхазия
- Азербайджан
- Казахстан
- Киргизия
Функциональность
Особенным Trojan-SMS.AndroidOS.Stealer.a не назовешь, он распространяется под видом легитимного приложения и использует стандартный для SMS-троянцев набор функций.
- Stealer способен принимать от C&C и обрабатывать следующие команды:
- server – сменить C&C
- sms – отправить SMS с заданными в конфигурационном файле данными.
- delete – удалять входящие сообщения, соответствующие маскам, с заданным интервалом
- update – обновить троянец
- removeAllSmsFilters – удалить фильтры SMS
- sendInfo – отправить данные о телефоне
- sendPackagesList – отправить список приложений
- sendConfig – отправить текущие настройки
- uninstall — удалить выбранное приложение
- notification – показать сообщение в области нотификаций
- inbox_sms_remote_log – включить перехват сообщений
- Управление троянцем осуществляется через HTTP, при этом используются два разных центра управления – один ставит задачи, другой получает результаты.
- Для шифрования данных Stealer использует модифицированный BASE64 и GZip.
Внутри себя зловред хранит шифрованный конфигурационный файл, который представляет собой JS-скрипт. В зависимости от содержания файла, троянец сразу после загрузки и запуска может выполнить следующие действия:
- openUrl — открыть веб-страницу (URL)
- getLat, getLng — получить координаты устройства
- setInboxSmsFilter — установить маску блокировки SMS
- disableInboxSmsFilter — снять маску блокировки SMS
- doPayment — отправить SMS, взяв номер и текст сообщения из конфигурационного файла.
- installApp — установить приложение
- enableDebug — включить отладочную информацию
- disableDebug — выключить отладочную информацию
- log — включить логирование в logcat
- minimize — свернуть приложение, под видом которого распространяется троянец (в фоновый режим)
- exit — закрыть приложение
- startHider — скрыть приложение
- stopHider — восстановить приложение
- enableAOS — включить режим сокрытия подтверждающих сообщений
- addShortcut — добавить ярлык на троянца на один из рабочих столов ОС
- isAirplaneModeOn – проверить, включен ли режим AirPlane mode
- isPackageExists — проверить, есть ли в системе приложение по маске
- sS – отправить SMS с заданным номером и префиксом
- sDS – отправить SMS с задержкой
Таким образом, вирусописатели могут менять поведение троянца, меняя содержание конфигурационного файла.
Удивительно, что создатели троянца всё ещё используют схему, когда конфигурация Trojan-SMS.AndroidOS.Stealer.a распространяется вместе с ним, в то время как большая часть подобных зловредов переведена исключительно на онлайн-управление. Впрочем, такой подход позволяет гарантировать работу Stealer в случае отсутствия доступа в интернет.
Мы прогнозируем дальнейший рост попыток заражения Trojan-SMS.AndroidOS.Stealer.a. Скорее всего, вирусописатели сведут к минимуму конфигурационный файл и будут управлять троянцем исключительно онлайн, сохранив при этом его функционал.
Новая угроза: Trojan-SMS. AndroidOS.Stealer.a