Волна вирусов, направленных на Google Android, побудила одного из
исследователей разобраться в работе угрожающего кода, Android.Adrd – трояна,
вмешивающегося в работу поиска. Исследователь изучил его функции и сравнил его с
другим вирусом,
Android.Geinimi
.

Согласно исследователю безопасности Symantec Такаши Катцуки, Android.Adrd
уникален тем, что это первый вирус, направленный именно на управление поиском.

Распространение Adrd и Geinimi, говорит он, происходит через пиратское ПО,
которое позволяет их автору произвести троянизацию устройства и, таким образом,
доставить вредоносный контент поверх "чистого".

"Оба вируса запускаются при загрузке системы. Android.Adrd также может
запуститься, если делается звонок или меняются настройки соединения с сетью", -
рассказал Такаши в своем

блоге
.

И здесь начинается самое интересное. Открыв на устройстве бэкдор,
Android.Geinimi имеет более двадцати функций, таких как осуществление звонков,
отправка сообщений и кража важной информации.

"В сравнении с ним Android.Adrd по сути является более простым вирусом. Когда
работает вирус, он получает набор строк от удаленного сервера и впоследствии
неоднократно выполняет операции поиска в фоновом режиме (т.е пользователь ничего
не замечает)", - рассказал он.

Катцуки заявил, что операции поиска, осуществляемые вредоносным ПО,
происходят посредством HTTP запросов в следующем формате:

wap.baidu.com/s?word=[ENCODED SEARCH STRING] &vit=uni&from=[ID]

Интересно то, что непосредственной целью подобных запросов было повышение
индекса популярности одного из китайских мобильных сайтов.

HTTP запросы приводят к большому числу "искусственных поисков", специально
заданных автором трояна, таким образом искусственно повышая индекс популярности
в поисковом механизме Baidu по определенным критериям.

Далее по цепочке становится понятно, в чем собственно заключается выгода от
трояна.

Android.Adrd, говорит Катцуки, не ходит вокруг да около, а конкретно
направлен на мошенничество с помощью управления поиском на мобильном устройстве.

"Чтобы убедиться, что угроза сохраняет продуктивность, создателям пришлось
добавить подпрограммы, определяющие тип используемого соединения (WiFi или 3G
доступ)", - добавил исследователь.

Интересен еще и тот факт, что мошеннические приложения, работающие на
мобильном устройстве, могут переключаться между типами соединения и избегать
механизмы проверки.

"В отличие от Android.Adrd, пока еще нет ясного представления о материальных
мотивах связанных с Android.Geinimi", - отметил Катцуки. "И хотя Android.Adrd не
является чем-то сверхсложным, нужно иметь в виду, что он обладает функцией
обновления, которая позволяет атакующему изменять функциональность и поведение
вируса по мере необходимости. Учитывая это, вам следует постоянно проверять
обновления для вашего антивируса", - заключил эксперт.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии