"Доктор Веб" обнаружил новые вредоносные программы для Android
В декабре киберпреступники решили массово отдохнуть, поэтому конец года не отметился ярким всплеском вирусной активности. Это подтвердили аналитики компании "Доктор Веб". И все же преступники не совсем бездействовали. Так, в начале декабря специалисты провели специальную операцию по поиску вредоносного ПО в Google Market. Первоначально было выявлено 33 таких приложения, вскоре к ним прибавилось еще 12. Практически все обнаруженные вредоносные программы относятся к семейству Android.SmsSend. Их главной целью является отправка платных SMS-сообщений на премиум-номера без ведома пользователя.
Каталог Android Market не впервые становится источником распространения вредоносных программ: ранее в нем были найдены троянцы семейства Android.DreamExploid, Android.DDLight и некоторые другие.
Все распространявшиеся на Android Market троянцы были созданы несколькими разработчиками, и большая их часть маскировалась под приложения - каталоги изображений, позволяющие изменять фоновый рисунок рабочего стола Android. Среди прочих вредоносов встречаются и программы для составления гороскопов, диет, программа-фонарик.
Аналитики сообщили также, что в конце декабря появилось первое вредоносное приложение для ОС Android, предназначенное для рассылки политического спама, ориентированного на ближневосточную аудиторию. Android.Arspam.1 встроен в легитимное приложение AlSalah, предназначенное для мусульман и реализующее функции компаса, который с помощью GPS-координат абонента определяет направление на Мекку и расстояние до нее. Предлагаемая на официальном сайте Android Market версия данной программы не несет какого-либо деструктивного функционала, в то время как аналогичное приложение, распространяемое на арабоязычных форумах, как правило, содержит в себе троянца.
В последнем месяце года специалистами "Доктор Веб" были выявлены более 100 русскоязычных площадок, подвергшихся взлому с целью осуществления атаки на пользователей мобильных устройств. Так, многочисленные владельцы смартфонов и планшетов, работающих под управлением ОС Android и других системных платформ с поддержкой Java, стали замечать, что они лишились возможности посетить интересные им сайты. При открытии некоторых веб-страниц происходит автоматическое перенаправление пользователя на интернет-ресурс, имитирующий оформление официального сайта Opera Mini и предлагающий загрузить обновление браузера. Под видом такого обновления, распространяемого в зависимости от типа клиентской ОС в виде либо файлов .jar, либо приложений для Android (.apk), обычно скрывается троянец семейства Java.SMSSend или Android.SmsSend.
В первой половине декабря в вирусные базы была добавлена и вредоносная программа BackDoor.Pads. Ее функционал собирает информацию об инфицированном компьютере, включая версию операционной системы, имя компьютера и его IP-адрес. Если троянцу удается получить права на доступ, он расшифровывает и запускает в инфицированной системе кейлоггер, фиксирующий нажатия клавиш пользователем. Этот модуль внесен в вирусные базы Dr.Web под именем Trojan.PWS.Pads. Опасность программы кроется в том, что она способна предоставлять злоумышленникам доступ к ресурсам инфицированной машины и выполнять различные команды, в том числе команду поиска файлов, создания/удаления папок, копирования, перемещения и удаления файлов, перезагрузки Windows, получения списка запущенных процессов, загрузки файлов и их запуска от имени определенного пользователя. Кроме того, BackDoor.Pads может выполнять функции прокси-сервера.
Первая половина месяца также ознаменовалась обнаружением на торрент-трекере The Pirate Bay новых архивов, содержащих троянскую программу Trojan.Merin.3, предназначенную для майнинга электронной валюты Bitcoin и кражи паролей у пользователей Mac OS X. Вредоносная программа распространяется под видом приложений WritersCafe, Twitterrific и EvoCam.
© @Astera