Описание вредоносного ПО

Новая угроза: Trojan-SMS. AndroidOS.Stealer.a

Картина попыток заражения мобильным вредоносным ПО постоянно меняется, и об одной последней тенденции я хочу рассказать. За последний год мобильный троянец Trojan-SMS.AndroidOS.Stealer.a выбился в лидеры по количеству попыток заражения наших пользователей и теперь стабильно занимает первые места в списках актуальных угроз. Так, в первом квартале 2014 года на него пришлось чуть менее четверти всех задетектированных атак.

География

Причиной тому не только тот напор, с которым злоумышленники распространяют его в России, но и не прекращающиеся попытки атаковать пользователей из Европы и Азии. Случаи заражения этим SMS-троянцем зафиксированы повсеместно:

Есть ещё один фактор, который говорит о том, что троянец нацелен на пользователей из различных стран мира. Речь идёт о его конфигурационном файле. Дело в том, что троянец определяет, в каком регионе он запущен, и в зависимости от этого изменяет содержимое SMS и адресата. На данный момент территория «работы» Trojan-SMS.AndroidOS.Stealer.a включает следующие страны:

  • Бельгия
  • Франция
  • Литва
  • Латвия
  • Россия
  • Украина
  • Беларусь
  • Молдова
  • Германия
  • Армения
  • Абхазия
  • Азербайджан
  • Казахстан
  • Киргизия

Функциональность

Особенным Trojan-SMS.AndroidOS.Stealer.a не назовешь, он распространяется под видом легитимного приложения и использует стандартный для SMS-троянцев набор функций.

  • Stealer способен принимать от C&C и обрабатывать следующие команды:
    • server – сменить C&C
    • sms – отправить SMS с заданными в конфигурационном файле данными.
    • delete – удалять входящие сообщения, соответствующие маскам, с заданным интервалом
    • update – обновить троянец
    • removeAllSmsFilters – удалить фильтры SMS
    • sendInfo – отправить данные о телефоне
    • sendPackagesList – отправить список приложений
    • sendConfig – отправить текущие настройки
    • uninstall — удалить выбранное приложение
    • notification – показать сообщение в области нотификаций
    • inbox_sms_remote_log – включить перехват сообщений
  • Управление троянцем осуществляется через HTTP, при этом используются два разных центра управления – один ставит задачи, другой получает результаты.
  • Для шифрования данных Stealer использует модифицированный BASE64 и GZip.

Внутри себя зловред хранит шифрованный конфигурационный файл, который представляет собой JS-скрипт. В зависимости от содержания файла, троянец сразу после загрузки и запуска может выполнить следующие действия:

  • openUrl — открыть веб-страницу (URL)
  • getLat, getLng — получить координаты устройства
  • setInboxSmsFilter — установить маску блокировки SMS
  • disableInboxSmsFilter — снять маску блокировки SMS
  • doPayment — отправить SMS, взяв номер и текст сообщения из конфигурационного файла.
  • installApp — установить приложение
  • enableDebug — включить отладочную информацию
  • disableDebug — выключить отладочную информацию
  • log — включить логирование в logcat
  • minimize — свернуть приложение, под видом которого распространяется троянец (в фоновый режим)
  • exit — закрыть приложение
  • startHider — скрыть приложение
  • stopHider — восстановить приложение
  • enableAOS — включить режим сокрытия подтверждающих сообщений
  • addShortcut — добавить ярлык на троянца на один из рабочих столов ОС
  • isAirplaneModeOn – проверить, включен ли режим AirPlane mode
  • isPackageExists — проверить, есть ли в системе приложение по маске
  • sS – отправить SMS с заданным номером и префиксом
  • sDS – отправить SMS с задержкой

Таким образом, вирусописатели могут менять поведение троянца, меняя содержание конфигурационного файла.

Удивительно, что создатели троянца всё ещё используют схему, когда конфигурация Trojan-SMS.AndroidOS.Stealer.a распространяется вместе с ним, в то время как большая часть подобных зловредов переведена исключительно на онлайн-управление. Впрочем, такой подход позволяет гарантировать работу Stealer в случае отсутствия доступа в интернет.

Мы прогнозируем дальнейший рост попыток заражения Trojan-SMS.AndroidOS.Stealer.a. Скорее всего, вирусописатели сведут к минимуму конфигурационный файл и будут управлять троянцем исключительно онлайн, сохранив при этом его функционал.

Новая угроза: Trojan-SMS. AndroidOS.Stealer.a

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике