|
Календарь мероприятий
январь  2025
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | | |
показать все 
Новости партнеров
RED Security SOC: хакеры усилили давление на критическую информационную инфраструктуру России
Читать далее
«Газинформсервис» занял 2-ое место в списке поставщиков решений для защиты информации в РФ
Читать далее
РАЭК определила лидера среди классифайдов по числу объявлений о долгосрочной аренде
Читать далее
За экспертизой в инфобезе — к «Газинформсервису»
Читать далее
Компания «ИнфоТеКС» объявляет о выпуске сертифицированной версии ViPNet xFirewall 5.6.2
Читать далее
показать все
Статьи
Лучшее, конечно, впереди?
Читать далее
Как управлять командой разработчиков в условиях постоянных изменений?
Читать далее
Как привлекать ИТ-таланты в условиях дефицита кадров?
Читать далее
Импортозамещение платформ серверной виртуализации
Читать далее
Что следует учитывать ИТ-директорам, прежде чем претендовать на должность генерального директора?
Читать далее
Сетевая инфраструктура, сетевые технологии: что лучше – самостоятельная поддержка или внешнее обслуживание?
Читать далее
Взгляд в перспективу: что будет двигать отрасль информационной безопасности
Читать далее
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
показать все
|
Очередной Android-троянец шпионит за китайскими пользователями
Главная / Новости партнеров / Очередной Android-троянец шпионит за китайскими пользователями
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Вирусные аналитики компании «Доктор Веб» исследовали нового троянца для ОС Android, обнаруженного специалистами по информационной безопасности совсем недавно. Эта вредоносная программа, получившая имя Android.Backdoor.260.origin, распространяется среди китайских пользователей и предназначена для кибершпионажа. В частности, троянец способен перехватывать СМС-сообщения, записывать телефонные разговоры, получать координаты зараженного устройства, делать снимки экрана и даже отслеживать вводимые владельцем смартфона данные
Android.Backdoor.260.origin устанавливается на мобильные устройства в качестве приложения с именем «AndroidUpdate», поэтому весьма вероятно, что злоумышленники распространяют троянца под видом важного обновления ПО с целью обмануть потенциальных жертв и заставить их инсталлировать его.
Android.Backdoor.260.origin имеет весьма сложную модульную архитектуру: значительная часть его вредоносного функционала сосредоточена в специально созданных вирусописателями модулях, которые размещены внутри программного пакета вредоносного приложения. При первом старте троянец извлекает следующие вспомогательные компоненты:
- super;
- detect;
- liblocSDK4b.so;
- libnativeLoad.so;
- libPowerDetect.cy.so;
- 1.dat;
- libstay2.so;
- libsleep4.so;
- substrate_signed.apk;
- cInstall.
Далее он пытается запустить на исполнение с root-привилегиями двоичный файл cInstall (детектируется антивирусом Dr.Web как Android.BackDoor.41). В случае успеха этот вредоносный модуль помещает в системные каталоги мобильного устройства ряд извлеченных ранее файлов, а также пытается незаметно установить специализированную утилиту под названием «Substrate», расширяющую возможности приложений и используемую Android.Backdoor.260.origin для перехвата вводимых данных. Если же root-полномочия вредоносной программе предоставлены не были, то с большой долей вероятности проинсталлировать требуемые компоненты ей не удастся, в результате чего троянец не сможет корректно выполнять большинство своих функций.
После успешной установки всех необходимых модулейAndroid.Backdoor.260.origin удаляет созданный им ранее ярлык приложения и запускает вредоносный системный сервис PowerDetectService, активирующий работу троянского модуля libnativeLoad.so, добавленного в вирусную базу Dr.Web как Android.BackDoor.42, а также утилиты Substrate (Tool.Substrate.1.origin по классификации компании «Доктор Веб»). Важно отметить, что сама по себе эта утилита не является вредоносной и доступна для загрузки в каталоге Google Play. Однако в данном случае она была несколько модифицирована вирусописателями и интегрирована в Android.Backdoor.260.origin, в результате чего стала являться потенциально опасной для пользователей.
Задействованный троянцем вредоносный компонент libnativeLoad.so запускает на исполнение файл detect (Android.BackDoor.45), который инициализирует работу двоичного модуля 1.dat (Android.BackDoor.44). В свою очередь, он активирует работу троянской библиотеки libsleep4.so (Android.BackDoor.46), которая в постоянном режиме создает снимки экрана зараженного устройства и перехватывает вводимые на клавиатуре данные, а также библиотеки libstay2.so (Android.BackDoor.43), крадущей информацию из телефонной книги и отслеживающей СМС-сообщения и переписку в мессенджере QQ.
Кроме этого, троянский компонент 1.dat способен принимать от управляющего сервера целый ряд команд, среди которых можно выделить следующие:
- "DOW" – загрузить файл с сервера;
- "UPL" – загрузить файл на сервер;
- "PLI", "PDL", "SDA" – обновить вредоносные модули, а также настройки троянца;
- "DIR" – получить список файлов в заданном каталоге;
- "DTK" – записать содержимое заданного каталога в файл;
- "OSC", "STK" – выполнить поиск заданного файла или каталога;
- "OSF" – отменить поиск файла;
- "DEL" – удалить заданный файл;
- "SCP" – сделать снимок экрана;
- "BGS" – включить микрофон и начать аудиозапись;
- "GPRS" – начать отслеживание местоположения пользователя.
Примечательно, что часть полученных команд выполняется модулем 1.dat самостоятельно, в то время как для исполнения остальных он обращается к функционалу других троянских библиотек, которые тесно взаимодействуют между собой через сокеты UNIX с использованием следующих двухбайтовых команд:
- 0x2633 – начать аудиозапись на встроенный микрофон;
- 0x2634 – остановить аудиозапись;
- 0x2635 – обновить файл конфигурации для записи аудио;
- 0x2629 – скопировать номера контактов;
- 0x2630 – скопировать номера контактов;
- 0x2631 – скопировать СМС-сообщения;
- 0x2632 – скопировать журнал вызовов;
- 0x2628 – передать информацию о местоположении мобильного устройства;
- 0x2532 – получить имя процесса, в котором пользователь работает в данный момент;
- 0x2678 – используется для передачи введённых пользователем данных.
Специалисты компании «Доктор Веб» в очередной раз призывают владельцев мобильных Android-устройств отказаться от установки сомнительных приложений, полученных из не вызывающих доверия источников, а также рекомендуют использовать надежную антивирусную программу. Записи для троянцаAndroid.Backdoor.260.origin и всех его вредоносных компонентов внесены в вирусную базу Dr.Web, поэтому для пользователей антивирусных продуктов Dr.Web для Android они не представляют угрозы В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|
_cover.jpg)
_cover.jpg)
_cover.jpg)
_cover.jpg)
