Специалисты «Лаборатории Касперского» разоблачили еще один метод управления ботами, который используют авторы троянов под Android. Речь идет о фирменной службе Google Cloud Messaging (GCM). Она позволяет через серверы Google передавать на мобильное устройство небольшие (до 4 КБ) сообщения в формате JSON. Эти сообщения могут содержать любые структурированные данные — например, ссылки, рекламную информацию или команды. По идее, сервис используется для удаленной настройки телефона, рассылки сообщений о появлении новых уровней и т.д.
По описанию понятно, что сервис практически идеально подходит для размещения С&C-сервера. Специалисты «Лаборатории Касперского» обнаружили несколько приложений, которые используют Google Cloud Messaging для вредоносных целей.
1. Trojan-SMS.AndroidOS.FakeInst.a распространился уже более чем на 4,8 млн устройств. Троянская программа может отправлять SMS на премиум-номер (по команде с CGM), удалять входящие SMS, создавать ярлыки на вредоносные сайты и показывать нотификации с рекламой других вредоносных программ, которые распространяются под видом полезных приложений или игр.
2. Trojan-SMS.AndroidOS.Agent.ao выдает себя за порно-приложение, но на самом деле содержит всего две картинки и отправляет SMS на премиум-номер (по команде с CGM).
3. Trojan-SMS.AndroidOS.OpFake.a распространяется в APK, выдающих себя за различные игры и программы. Очень распространенная программа, которую обнаружили уже в 97 странах мира, но чаще всего встречается в России, Украине, Беларуси, Казахстане, Азербайджане, Узбекистане. Как и другие представители российской подпольной экономики, тоже отправляет SMS на премиум-номера.
4. Backdoor.AndroidOS.Maxit.a — более 40 разновидностей бэкдора, первые образцы которого обнаружены в 2011 году. Все они действуют по схожему сценарию: программа открывает сайт с играми, а в фоновом режиме осуществляет вредоносные действия.
Облачный сервис GCM здесь тоже используется как дополнительный источник команд.
5. Троян Trojan-SMS.AndroidOS.Agent.az представляет собой приложение-оболочку для вьетнамского порносайта, которое тоже отправляет SMS на премиум-номера.
