Новый троян может разорить владельца заражённого Android устройства
Новая версия червя вызывает заражение устройства, чтобы отправить тысячи спам текстовых сообщений, и распространилась уже в 16 странах.
Новая версия Android червя Selfmite имеет потенциал, чтобы нарастить огромное количество жертв в своей попытке распространиться на столько устройств, сколько возможно.
Первая версия Selfmite была обнаружена в июне, но его распространение было быстро прекращено благодаря специалистам по безопасности в сети. Червь – редкий тип вредоносных программ в Android экосистеме – распространяется путём передачи текстовых сообщений со ссылками на вредоносный АПК (Android Package) для первых 20 записей в адресной книге каждой жертвы.
В новой версии, которую обнаружили совсем недавно и окрестили Selfmite.b, имеет аналогичный, но гораздо более агрессивный способ распространения, по мнению исследователей из охранной фирмы AdaptiveMobile. Он посылает текстовые сообщения с вредоносной ссылкой на все контакты в адресной книге жертвы, и делает это в один цикл.
“По нашим данным, Selfmite.b отвечает за отправку свыше 150k сообщений в течении последних 10 дней от чуть более 100 зараженных устройств,” сказал Денис Масленников, аналитик по вопросам безопасности AdaptiveMobile в блоге среды. “Если предположить в перспективе, это является более чем в сто раз больше трафика, создаваемого Selfmite.b по сравнению с Selfmite.a”
В среднем это 1500 текстовых сообщений, отправленных с зараженного устройства, Selfmite.b может быть очень дорогостоящим для пользователей, чьи мобильные планы не включают в себя неограниченные SMS сообщения. Некоторые операторы мобильной связи могут обнаружить злоупотребления и блокировать его, но это может оставить жертву не в состоянии отправить законные текстовые сообщения.
В отличие от Selfmite.a, который был найден в основном на устройствах в Северной Америке, Selfmite.b распространился уже по крайней мере в 16 различных стран: Канады, Китая, Коста-Рика, Гана, Индия, Ирак, Ямайка, Мексика, Марокко, Пуэрто-Рико, Россия, Судан, Сирия, США, Венесуэла и Вьетнам.
Первая версия червя использовала goo.gl сокращенный URL-адрес в спам-сообщений, которые указывали на установщик АПК для вредоносных программ. Эти URL-адреса были жестко прописаны в коде приложение, поэтому после блокировки Google этой ссылки, распространение Selfmite.a остановилось.
Авторы червя применили другой подход в новой версии. Они все еще используют укороченные URL-адреса в текстовых сообщений – но на этот раз, укороченные x.co службой Go Daddy – но эти URL-адреса указаны в конфигурационном файле, которые скачивает червь периодически с сервера сторонних производителей.
“Мы уведомили Go Daddy о вредоносных URL-адресах x.co и на данный момент оба укороченные URL-адреса выключены”, сказал Масленников. “Но дело в том, что автор (ы) червя могут изменить удаленно с помощью файла конфигурации что осложняет работу по блокированию всего процесса заражения.”
Цель Selfmite является генерировать деньги для своих создателей через оплату за установку схем путем поощрения различных приложений и услуг. Старая версия распространяла Mobogenie, законное приложение, которое позволяло пользователям синхронизировать свои Android устройства с их ПК и загружать приложения для Android от альтернативного магазина приложений.
Selfmite.b создает две иконки на главном экране устройства, одну к Mobogenie и один к приложению под названием Mobo магазин. Тем не менее, они выступают в качестве веб-ссылки и нажатие на них может привести к различным приложениям и онлайн предложениям в зависимости от IP жертвы (Internet Protocol) и адреса местонахождения.
К счастью, система распределения червя не использует подвиги и полагается только на социальной инженерии – пользователи должны нажать на спам ссылку, а затем вручную установить скачанный APK для того, чтобы их устройство было заражено. Кроме того, их устройства должны быть настроены на разрешение установки приложений из неизвестных источников – ничего, кроме Google Play – который стоят по умолчанию в Android. Это дополнительно ограничивает уровень успеха в нападении.
Цифра дня: Сколько ссылок удалил Google по запросам европейцев о "праве на забвение"? Автором Всемирной паутины стал британский ученый Бернерс-Ли Тим Газета не для интернета Внедрение через URL: www.site.ru/?jn=xxxxxxxx Google накрыла волна запросов на удаление ссылок на пиратский контент. Ежеминутно компания получает 1500 таких требований. Google убрала более 170 тысяч ссылок по “праву быть забытым” 10 функций Google Chrome, о которых вы не знали Twitter заплатил IBM 36 миллионов долларов Разработан сервис для разоблачения новостей-«уток» Турция заблокировала доступ к Twitter
Обратная связь