Новая угроза: Trojan-SMS. AndroidOS.Stealer.a

Картина попыток заражения мобильным вредоносным ПО постоянно меняется, и об одной последней тенденции я хочу рассказать. За последний год мобильный троянец Trojan-SMS.AndroidOS.Stealer.a выбился в лидеры по количеству попыток заражения наших пользователей и теперь стабильно занимает первые места в списках актуальных угроз. Так, в первом квартале 2014 года на него пришлось чуть менее четверти всех задетектированных атак.

География

Причиной тому не только тот напор, с которым злоумышленники распространяют его в России, но и не прекращающиеся попытки атаковать пользователей из Европы и Азии. Случаи заражения этим SMS-троянцем зафиксированы повсеместно:

Есть ещё один фактор, который говорит о том, что троянец нацелен на пользователей из различных стран мира. Речь идёт о его конфигурационном файле. Дело в том, что троянец определяет, в каком регионе он запущен, и в зависимости от этого изменяет содержимое SMS и адресата. На данный момент территория «работы» Trojan-SMS.AndroidOS.Stealer.a включает следующие страны:

• Бельгия
• Франция
• Литва
• Латвия
• Россия
• Украина
• Беларусь
• Молдова
• Германия
• Армения
• Абхазия
• Азербайджан
• Казахстан
• Киргизия

Функциональность

Особенным Trojan-SMS.AndroidOS.Stealer.a не назовешь, он распространяется под видом легитимного приложения и использует стандартный для SMS-троянцев набор функций.

• Stealer способен принимать от C&C и обрабатывать следующие команды:
  • server – сменить C&C
  • sms – отправить SMS с заданными в конфигурационном файле данными.
  • delete – удалять входящие сообщения, соответствующие маскам, с заданным интервалом
  • update – обновить троянец
  • removeAllSmsFilters – удалить фильтры SMS
  • sendInfo – отправить данные о телефоне
  • sendPackagesList – отправить список приложений
  • sendConfig – отправить текущие настройки
  • uninstall — удалить выбранное приложение
  • notification – показать сообщение в области нотификаций
  • inbox_sms_remote_log – включить перехват сообщений
• Управление троянцем осуществляется через HTTP, при этом используются два разных центра управления – один ставит задачи, другой получает результаты.
• Для шифрования данных Stealer использует модифицированный BASE64 и GZip.

Внутри себя зловред хранит шифрованный конфигурационный файл, который представляет собой JS-скрипт. В зависимости от содержания файла, троянец сразу после загрузки и запуска может выполнить следующие действия:

• openUrl — открыть веб-страницу (URL)
• getLat, getLng — получить координаты устройства
• setInboxSmsFilter — установить маску блокировки SMS
• disableInboxSmsFilter — снять маску блокировки SMS
• doPayment — отправить SMS, взяв номер и текст сообщения из конфигурационного файла.
• installApp — установить приложение
• enableDebug — включить отладочную информацию
• disableDebug — выключить отладочную информацию
• log — включить логирование в logcat
• minimize — свернуть приложение, под видом которого распространяется троянец (в фоновый режим)
• exit — закрыть приложение
• startHider — скрыть приложение
• stopHider — восстановить приложение
• enableAOS — включить режим сокрытия подтверждающих сообщений
• addShortcut — добавить ярлык на троянца на один из рабочих столов ОС
• isAirplaneModeOn – проверить, включен ли режим AirPlane mode
• isPackageExists — проверить, есть ли в системе приложение по маске
• sS – отправить SMS с заданным номером и префиксом
• sDS – отправить SMS с задержкой

Таким образом, вирусописатели могут менять поведение троянца, меняя содержание конфигурационного файла.

Удивительно, что создатели троянца всё ещё используют схему, когда конфигурация Trojan-SMS.AndroidOS.Stealer.a распространяется вместе с ним, в то время как большая часть подобных зловредов переведена исключительно на онлайн-управление. Впрочем, такой подход позволяет гарантировать работу Stealer в случае отсутствия доступа в интернет.

Мы прогнозируем дальнейший рост попыток заражения Trojan-SMS.AndroidOS.Stealer.a. Скорее всего, вирусописатели сведут к минимуму конфигурационный файл и будут управлять троянцем исключительно онлайн, сохранив при этом его функционал.