Жадный троянец

Вирусописатели всегда старались сбивать детектирование антивирусов. В последнее время в случае с Trojan-SMS под платформу Android для этих целей активно используются Trojan-Downloader: создается маленькое незаметное приложение, весь функционал которого заключен в выкачивании и установке Trojan-SMS, который, в свою очередь, уже будет опустошать счет пользователя. Один из таких троянцев и привлек наше внимание.

При установке он требует минимум разрешений и показывает иконку от легального приложения «WiFi Mouse HD».

Чем же он интересен? Большая часть подобных троянцев обладает минимальным функционалом. В этом же файле достаточно много кода. Соответственно, его поведение не так уж и просто.

Первым делом троянец обращается к командному серверу, на котором регистрирует инфицированный телефон. Если доступа к интернету нет, то приложение тут же завершится.

Если же с командным сервером удалось связаться, то приложение показывает пользователю некую картинку и начинает обрабатывать ответ сервера.

Ответ сервера закодирован алгоритмом Base64 и зашифрован алгоритмом AES. Если же его расшифровать, то можно увидеть  интересный список Android приложений:

Это список некоторых антивирусных программ для Android. Зачем же они нужны этому троянцу? Посмотрим код:

Этот троянец проверяет наличие в системе антивирусных программ, и если таковые обнаружены, то вредоносная программа завершает свою работу.

Кроме этого, в том же ответе сервера содержаться указания к действию:

В ответе сервера содержатся зашифрованные ссылки на приложения для Android (на скриншоте подчеркнуты красным). Расшифровав эти ссылки и скачав соответствующие файлы, мы обнаружили еще одну особенность этого троянца – жадность. Он последовательно скачивает 4 (!) Trojan-SMS от двух крупнейших партнерских программ. И только пятый файл – оригинальное чистое приложение «WiFi Mouse HD».

Троянцы  одной партнерской программы отличаются только конфигурационными файлами. Различия же между троянцами  разных партнерских программ значительны – их объединяет только функционал отправки премиум SMS и использование шифрования для сокрытия своих конфигурационных файлов.

Мы детектируем эти троянские программы как

WiFi_Mouse_HD_v1_1p.apk  — HEUR:Trojan-SMS.AndroidOS.Opfake.a

WiFi_Mouse_HD_v1_1p1.apk — HEUR:Trojan-SMS.AndroidOS.Opfake.a

WiFi_Mouse_HD_v1_1_1.apk — HEUR:Trojan-SMS.AndroidOS.Opfake.bo

WiFi_Mouse_HD_v1_1_2.apk — HEUR:Trojan-SMS.AndroidOS.Opfake.bo

Даунлоадер после скачивания каждого Trojan-SMS запускает его установку. Эти Trojan-SMS выдают себя за оригинальное приложение, в данном случае «WiFi Mouse HD», поэтому система запрашивает у пользователя подтверждение на установку именно этого приложения:

После запуска эти троянцы имитируют процесс установки, после чего отправляют премиум сообщения с зараженных мобильных устройств.

Trojan-SMS нацелены в основном на русскоязычных пользователей России, Украины и Казахстана. HEUR:Trojan-SMS.AndroidOS.Opfake.a после запуска могут отправить до 5 SMS общей стоимостью до 400 рублей. Файлы, детектируемые как HEUR:Trojan-SMS.AndroidOS.Opfake.bo, в свою очередь, отправляют SMS на сумму примерно 240 рублей. Точное количество отправленных сообщений и их стоимость могут отличаться для разных стран и операторов.

В целом за отправленные троянцами премиум SMS придется заплатить около 1000 рублей.

Вернемся к первоначальному троянцу-даунлоадеру. Эту вредоносную программу мы детектируем как HEUR:Trojan-Downloader.AndroidOS.Fav.a.

Еще одним интересным моментом являются «красивые» имена доменов, используемые в работе этого троянца:

Отметим, что по данным сервиса Whois, DNS-серверы трех из семи доменов хостятся у российского провайдера, при этом четыре домена (включая один с российским хостингом DNS-сервера) зарегистрированы на людей с русскими именами и фамилиями.

Эти домены используются для распространения всех троянцев  —как первоначального Trojan-Downloader, так и четырех Trojan-SMS. Даже чистое приложение «WiFi Mouse HD» скачивается с одного из одного из этих доменов. Некоторые домены используются троянцем и как командный сервер и сервер для отправки статистики.

Все эти домены были нами задетектированы.

В итоге: HEUR:Trojan-Downloader.AndroidOS.Fav.a  — «жадный» троянец, который нацелен на русскоязычных пользователей и обладает достаточно большим функционалом по сравнению со своими аналогами.

Он оказался весьма популярным у злоумышленников. По данным KSN, эта вредоносная программа попадала в TOP10 заблокированных установок на телефонах наших пользователей с середины декабря 2012 года, т.е. с тех пор, когда мы обнаружили его первую модификацию. На него пришелся почти 1% от числа всех заблокированных установок за этот период. Хотя он и не дотягивает до популярности Trojan-SMS – такие зловреды  детектируются практически в 20 раз чаще.