«Лаборатория Касперского» сообщает о новой версии трояна Trojan-SMS.AndroidOS.Podec с расширенной функциональностью. Он умеет отправлять сообщения на платные короткие номера с использованием механизмов обхода системы Advice of Charge (уведомление пользователя о стоимости услуги и запрос на подтверждение её оплаты), осуществлять подписку жертвы на платные услуги, в том числе с обходом CAPTCHA. Такая функциональность до этого не встречалась ни в одном известном Android-троянце, признают специалисты «Лаборатории Касперского».

Судя по статистике Kaspersky Security Network, основными источниками распространения изучаемой версии зловреда являются домены со звучными именами (Apk-downlad3.ru, minergamevip.com и т.д.), а также серверы социальной сети «Вконтакте», использующиеся для хранения пользовательского контента.

003

Доля серверов социальной сети преобладает, но, к сожалению, сервис хранения файлов в этой сети анонимен, и поиск путей появления зловредов невозможен, пишет «ЛК». Расследование выявило существование в этой сети целого ряда сообществ, распространяющих Trojan-SMS.AndroidOS.Podec:

  • http://vk.com/vzlomannye_igry_dlya_android
  • http://vk.com/skachat_minecraft_0_9_0_android
  • http://vk.com/minecraft_pe_0_9
  • http://vk.com/vzlom_igry_android_mody
  • http://vk.com/igry_android_cheats
  • http://vk.com/android_mody_apk
  • http://vk.com/novye_igry_na_android
  • http://vk.com/skachat_hill_climb_racing_bpan
  • http://vk.com/na_android_igry

Все группы из этого списка были наполнены схожим по сути контентом: картинками, ссылками, сообщениями.

004

Тематика каждой группы посвящена, как правило, одной конкретной взломанной игре или набору взломанных игр — киберпреступники рассчитывали привлечь внимание потенциальных жертв, заинтересованных в бесплатном использовании популярного платного контента.

Почти все сообщения на стене группы являются ссылками на сайты, якобы содержащие игры и приложения для платформы Android. То же самое касалось раздела «Ссылки». На деле единственной целью создания этих сайтов было распространение различных версий Trojan-SMS.AndroidOS.Podec.

Администратором всех сообществ-клонов является пользователь «Вконтакте» с ID «kminetti»; на его странице проводится реклама указанных выше сообществ. Аккаунт ведется с 12 октября 2011 г., с 2012 года на стене начали размещать ссылки на сайты и сообщества, распространяющие вредоносные приложения для мобильных платформ.

005

Выдержка из сообщения «Лаборатории Касперского»

Попавший в «Лабораторию Касперского» образец мобильного троянца маскируется под популярное приложение Minecraft – Pocket Edition. Размер файла – 688 килобайт, что является преимуществом в глазах неопытных пользователей с медленным и/или дорогим интернетом. Размер официального приложения составляет от 10 до 13 мегабайт.

После запуска приложение запрашивает права администратора устройства; цель данного шага – противодействовать своему удалению как со стороны пользователя, так и со стороны защитных решений. Если пользователь отказался выдать права администратора, троянец повторяет свой запрос до тех пор, пока не получит желаемое. Нормальная работа с устройством при этом, фактически, невозможна.

После того, как Trojan-SMS.AndroidOS.Podec получил привилегированный доступ, происходит загрузка (со стороннего ресурса) и установка на SD-карту устройства легитимного приложения Minecraft. Такое поведение настраивается в конфигурационном файле, поставляемом вместе с троянцем; в этом же файле указана ссылка на скачивание легитимного APK-файла. В то же время конфигурационный файл может и не содержать ссылки на приложение, в этом случае троянец просто прекращает заметную пользователю активность после запроса привилегий.

Далее троянец удаляет свой ярлык из списка приложений и заменяет его ярлыком настоящего приложения. При этом неочевидные следы троянца остаются в списке установленных приложений и списке администраторов устройства:

Управление поведением Trojan-SMS.AndroidOS.Podec происходит с помощью командных серверов. Используется схема, при которой троянец обращается по протоколу HTTP к серверу и ждет SMS-сообщения с командами, управляющими его поведением. Trojan-SMS.AndroidOS.Podec использует основной и резервный списки доменных имен командных серверов – выбор конкретного центра управления происходит по случайному алгоритму. Если от основного сервера нет ответа в течение трёх дней, то используется резервный список имен. Таким образом реализуется адаптивный механизм связи с командными серверами, позволяющий обходить возможные блокировки доменных имен.

Доменные имена командных серверов и весь трафик (как HTTP, так и SMS) шифруются алгоритмом шифрования AES в режиме CBC/NoPadding с 128-битным ключом. Ключ шифрования и вектор инициализации изначально находятся в файле fXUt474y1mSeuULsg.kEaS (название данного файла отличается от модификации к модификации), расположенном в папке assetsисходного приложения. Большая часть файла представляет из себя мусор; полезная информация содержится в нем между тегами, например, [a]строка[/a].

Из расположенных между тегами строк получаются необходимые параметры шифрования (ключ и вектор) в зашифрованном виде. Далее они расшифровываются при помощи простых замен одних подстрок на другие.

006

Команды в расшифрованном виде представляют собой XML-документ, теги которого обозначают определенную команду, а содержимое тегов – ее параметры. Набор возможностей Trojan-SMS.AndroidOS.Podec, реализуемых посредством команд:

  1. Сбор информации об устройстве (оператор, IMEI, номер телефона, язык интерфейса, страна и город проживания и т.д.).
  2. Получение списка установленных приложений.
  3. Получение информации об USSD.
  4. Отправка SMS.
  5. Установка фильтра на входящие сообщения.
  6. Установка фильтров на входящие и исходящие звонки.
  7. Показ пользователю рекламы (отдельная нотификация, открытие страницы, диалог и другие виды демонстрации рекламного контента).
  8. Удаление заданных сообщений.
  9. Удаление заданных записей о звонках.
  10. Загрузка на сервер злоумышленников исходного HTML-кода заданной ими страницы.
  11. Выполнение DDoS-атаки, накручивание счетчика посещений сайтов.
  12. Осуществление подписки пользователя на платный контент.
  13. Самообновление.
  14. Осуществление исходящего вызова.
  15. Выгрузка входящих сообщений по заданным центром управления условиям.
  16. Удаление заданного центром управления приложения.

Общая схема работы Trojan-SMS.AndroidOS.Podec приведена ниже.

007

Одна из самых опасных возможностей Podec – использование конфигурируемых правил посещения веб-страниц с возможностью распознавать на них CAPTCHA. Это позволяет скрытно подписать пользователя устройства на дорогостоящие платные подписки. Эта уникальная функциональность троянца, пишет «Лаборатория Касперского».

Обработчик CAPTCHA взаимодействует с сервисом Antigate.com, который предоставляет услуги по ручному распознаванию текста на изображениях.

Общая схема осуществления подписки

008

Пользователям рекомендуют быть осторожнее при установке приложений из сторонних источников.

31 комментарий

  1. Аватар

    11.03.2015 at 10:58

    ВКонтакт — рассадник ламерства и вирусья.
    Не пользуйтесь социальными сетями вообще.

    • Аватар

      11.03.2015 at 14:04

      Кому ты это пишешь? На это же ведутся только школьники 10-14 лет.

    • Аватар

      11.03.2015 at 14:31

      А ты алкоголь не пей, это яд.

      • Аватар

        11.03.2015 at 16:09

        алкоголь не пей, это яд

        Сколько лет Вы провели убеждаясь в этом?

        • Аватар

          13.03.2015 at 12:55

          Что значит провёл? Нужно уточняющее слово.

          • Аватар

            13.03.2015 at 16:47

            Вот это-то Вы сами нам сейчас и поведаете. Откуда ж мы знаем, что Вы там любите употреблять, вести нездоровый и неправедный образ жизни, отращивая пивное брюхо, просиживать целую жизнь в компьютерных играх и социальных сетях, знакомясь там с распутными девками, растрачивая на этом и не зарабатывая ничего?

            • Аватар

              13.03.2015 at 18:34

              Года не проводят, их тратят. Проводят время или проводят года «в чём-то» или «за чем-то». Скажем, «провёл года в лесу» или «провёл года за объяснением правил русского языка понаехавшим чучмекам».

    • Аватар

      12.03.2015 at 20:41

      Жесть просто новость, за этим стоят только те кто создали этот троян, а кто за этим стоят ?

  2. Аватар

    11.03.2015 at 12:37

    это просто репост

  3. Аватар

    11.03.2015 at 13:44

    может просто взял да и скопипастил, что уж тут

  4. Аватар

    11.03.2015 at 14:48

    вот читаю статью и не понимаю «на.. зачем» авторы зловреда все так запутали.

  5. Аватар

    11.03.2015 at 15:02

    У этой самой «Карины» фамилия настолько говорящая, что уж лучше бы она занялась своими прямыми обязанностями, а не распространением трояна…

  6. Аватар

    23.03.2015 at 15:16

    Сделайте тэг «Касперский пиарится».

Оставить мнение