Новый троян может разорить владельца заражённого Android устройства

Новая версия червя вызывает заражение устройства, чтобы отправить тысячи спам текстовых сообщений, и распространилась уже в 16 странах.

Новая версия Android червя Selfmite имеет потенциал, чтобы нарастить огромное количество жертв в своей попытке распространиться на столько устройств, сколько возможно.

Первая версия Selfmite была обнаружена в июне, но его распространение было быстро прекращено благодаря специалистам по безопасности в сети. Червь – редкий тип вредоносных программ в Android экосистеме – распространяется путём передачи текстовых сообщений со ссылками на вредоносный АПК (Android Package) для первых 20 записей в адресной книге каждой жертвы.

В новой версии, которую обнаружили совсем недавно и окрестили Selfmite.b, имеет аналогичный, но гораздо более агрессивный способ распространения, по мнению исследователей из охранной фирмы AdaptiveMobile. Он посылает текстовые сообщения с вредоносной ссылкой на все контакты в адресной книге жертвы, и делает это в один цикл.

“По нашим данным, Selfmite.b отвечает за отправку свыше 150k сообщений в течении последних 10 дней от чуть более 100 зараженных устройств,” сказал Денис Масленников, аналитик по вопросам безопасности AdaptiveMobile в блоге среды. “Если предположить в перспективе, это является более чем в сто раз больше трафика, создаваемого Selfmite.b по сравнению с Selfmite.a”

В среднем это 1500 текстовых сообщений, отправленных с зараженного устройства, Selfmite.b может быть очень дорогостоящим для пользователей, чьи мобильные планы не включают в себя неограниченные SMS сообщения. Некоторые операторы мобильной связи могут обнаружить злоупотребления и блокировать его, но это может оставить жертву не в состоянии отправить законные текстовые сообщения.

В отличие от Selfmite.a, который был найден в основном на устройствах в Северной Америке, Selfmite.b распространился уже по крайней мере в 16 различных стран: Канады, Китая, Коста-Рика, Гана, Индия, Ирак, Ямайка, Мексика, Марокко, Пуэрто-Рико, Россия, Судан, Сирия, США, Венесуэла и Вьетнам.

Первая версия червя использовала goo.gl сокращенный URL-адрес в спам-сообщений, которые указывали на установщик АПК для вредоносных программ. Эти URL-адреса были жестко прописаны в коде приложение, поэтому после блокировки Google этой ссылки, распространение Selfmite.a остановилось.

Авторы червя применили другой подход в новой версии. Они все еще используют укороченные URL-адреса в текстовых сообщений – но на этот раз, укороченные x.co службой Go Daddy – но эти URL-адреса указаны в конфигурационном файле, которые скачивает червь периодически с сервера сторонних производителей.

“Мы уведомили Go Daddy о вредоносных URL-адресах x.co и на данный момент оба укороченные URL-адреса выключены”, сказал Масленников. “Но дело в том, что автор (ы) червя могут изменить удаленно с помощью файла конфигурации что осложняет работу по блокированию всего процесса заражения.”

Цель Selfmite является генерировать деньги для своих создателей через оплату за установку схем путем поощрения различных приложений и услуг. Старая версия распространяла Mobogenie, законное приложение, которое позволяло пользователям синхронизировать свои Android устройства с их ПК и загружать приложения для Android от альтернативного магазина приложений.

Selfmite.b создает две иконки на главном экране устройства, одну к Mobogenie и один к приложению под названием Mobo магазин. Тем не менее, они выступают в качестве веб-ссылки и нажатие на них может привести к различным приложениям и онлайн предложениям в зависимости от IP жертвы (Internet Protocol) и адреса местонахождения.

К счастью, система распределения червя не использует подвиги и полагается только на социальной инженерии – пользователи должны нажать на спам ссылку, а затем вручную установить скачанный APK для того, чтобы их устройство было заражено. Кроме того, их устройства должны быть настроены на разрешение установки приложений из неизвестных источников – ничего, кроме Google Play – который стоят по умолчанию в Android. Это дополнительно ограничивает уровень успеха в нападении.

В Microsoft Bing добавлены инструменты кодировки HTML, URL и Base64 Новые инструменты от Google для быстрого управления настройками Торговых кампаний Число банковских троянов за девять месяцев 2013 г. утроилось Dropbox сливал кому попало секретные URL через referer Новый Skype мешает передачи URL-адресов Роскомнадзор временно заблокировал три сайта за экстремизм Турция заблокировала доступ к Twitter Новый вирус турецких хакеров заразил более 800 тысяч пользователей Facebook Что делать, если Googlebot не может получить доступ к сайту? Рейтинг информационных угроз за август