В прошедшем месяце специалисты компании «Доктор Веб» обнаружили рекламного Android-троянца, который проник в ряд приложений известных компаний, а также в прошивку нескольких десятков моделей мобильных устройств. Также в марте вирусные аналитики завершили исследование группы троянцев, внедряющихся в системный процесс и в дальнейшем заражающих процессы всех запускаемых приложений. Кроме того, специалисты компании «Доктор Веб» расшифровали файлы, поврежденные единственным известным на сегодняшний день энкодером для OS X.
Угрозой месяца стал троянец Mac.Trojan.VSearch.2, который может быть замаскирован под любое полезное приложение. В отличие от других программ-установщиков, Mac.Trojan.VSearch.2 не позволяет пользователю выбрать копируемые на компьютер компоненты — он настроен таким образом, будто пользователь сам отметил флажками все предложенные варианты. Среди других опасных и нежелательных программ этот троянец устанавливает на атакуемый «мак» вредоносное приложение Mac.Trojan.VSearch.4, которое, в свою очередь, внедряет в систему троянца Mac.Trojan.VSearch.7. Запустившись на зараженном компьютере, Mac.Trojan.VSearch.7 создает в операционной системе нового пользователя (который не отображается в окне приветствия OS X) и встраивает во все открываемые в окне браузера веб-страницы сценарий на языке JavaScript, показывающий рекламные баннеры. Помимо этого, он собирает пользовательские запросы в нескольких популярных поисковых системах.
В марте специалисты компании «Доктор Веб» исследовали вредоносную программу Android.Gmobi.1, которая была обнаружена в приложениях TrendMicro Dr.Safety, TrendMicro Dr.Booster и Asus WebStorage, а также предустановлена на более чем 40 моделях мобильных Android-устройств. Она представляет собой специализированную программную SDK-платформу, используемую разработчиками ПО и производителями смартфонов и планшетов. Вероятнее всего, авторы не задумывали этот модуль как троянца, однако ведет он себя как типичная вредоносная программа.
Так, Android.Gmobi.1 может демонстрировать навязчивую рекламу нескольких типов, например, помещать ее в панель уведомлений или показывать в виде баннеров поверх окон запущенных программ. Кроме того, троянец без спроса создает ярлыки на рабочем столе ОС, открывает различные страницы в веб-браузере и в приложении Google Play, а также способен загружать, устанавливать и запускать различное ПО. Ко всему прочему, Android.Gmobi.1 обладает и шпионскими функциями — он крадет и передает злоумышленникам различную конфиденциальную информацию.
В конце марта вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play более 100 приложений, которые содержали троянца-шпиона Android.Spy.277.origin, показывающего навязчивую рекламу. Эта вредоносная программа распространялась главным образом в поддельных версиях популярного ПО. Android.Spy.277.origin передает на управляющий сервер большой объем конфиденциальной информации и способен отображать рекламу различного типа. В частности, он может показать рекламу в виде баннеров поверх окон других приложений или интерфейса ОС, выводить сообщения в панель уведомлений, создавать ярлыки на рабочем столе и автоматически открывать ссылки в веб-браузере.
В первый месяц весны вирусные аналитики «Доктор Веб» завершили исследование целой группы троянцев семейства Android.Triada, внедряющихся в важный системный процесс Zygote и выполняющих вредоносные действия по команде злоумышленников. В ОС Android процесс Zygote отвечает за запуск всех приложений и при их старте создает для них в оперативной памяти свою копию, содержащую системные библиотеки и другие необходимые для работы компоненты. Внедряясь в Zygote, троянцы фактически получают возможность инфицировать процессы всех запускаемых в дальнейшем программ и могут выполнять вредоносные действия от имени и с правами этих приложений.
Основная вредоносная функция, реализованная в настоящий момент в троянцах Android.Triada, — это незаметная отправка СМС, а также подмена текста и номера получателя у сообщений, которые отправляет пользователь зараженного мобильного устройства. Тем не менее, по команде с управляющего сервера вредоносные программы могут загрузить дополнительные компоненты, которые будут использоваться для выполнения других нежелательных действий, необходимых злоумышленникам.
Примечательно, что представители семейства Android.Triada обладают функцией самозащиты. В частности, троянцы пытаются отследить и завершить работу ряда популярных в Китае антивирусных программ. Кроме того, они контролируют целостность своих компонентов: если какой-либо из вредоносных файлов будет удален с устройства, он будет восстановлен из оперативной памяти.
Появление троянцев Android.Triada вновь показало, что вредоносные приложения для Android-смартфонов и планшетов становятся все опаснее и изощреннее и зачастую не уступают по своим функциональным возможностям троянцам для ОС Windows.
