Полиморфный троян Android.Opfake и свидетель из Фрязино

Компания Symantec сообщила об обнаружении трояна под Android, который использует технику «серверного полиморфизма» — она раньше наблюдалась во вредоносных программах под Windows. Данная техника означает, что при каждом скачивании генерируется уникальная версия файла — это помогает укрыться от антивирусного срабатывания при поиске по сигнатурам. Компания Symantec присвоила всем вариантам новой вредоносной программы название Android.Opfake. Программа распространяется с российских сайтов под видом различных популярных Android-программ (в частности, Opera Mini 6.5), а после заражения предлагает пользователю отправить SMS на различные платные номера.

Пока что вредоносная программа обнаружена только на российских сайтах, но она умеет отправлять платные SMS не только на российские номера, а также на номера операторов стран СНГ, стран Европы, а также Австралии, Израиля и Тайваня.

Программа видоизменяется автоматически по заданному алгоритму, кроме того, каждые несколько дней модификации в код вносятся вручную. По мнению исследователей, это свидетельствует о том, что авторы программы следят за работой своего детища.

Полиморфизм Android.Opfake осуществляется тремя способами: с помощью изменения данных, перепаковки файлов в пакете и внедрения мусорных файлов. Например, в одном из случаев при сравнении CRC файлов в двух пакетах исследователи обнаружили, что единственное значимое изменение произошло в файле res/raw/data.db, все остальные изменившиеся файлы в META-INF содержат только сигнатуры всего пакета, так что они просто отражают факт изменения res/raw/data.db.

​

Анализ кода показал, что res/raw/data.db содержит базу данных операторов сотовой связи со списком премиальных номеров и сообщений для отправки в том случае, если пользователь установит эту программу на свой телефон. Содержимое SMS-сообщений меняется при каждой загрузке, что приводит к генерации уникальных пакетов.

В другом случае полиморфизм OpFake достигался с помощью иной техники. В некоторых APK весь код и файлы с данными были одинаковыми, но MANIFEST.MF и сигнатуры отличались.

​

Здесь полиморфизм достигается просто изменением порядка строк и файлов в пакете, в результате чего при генерации получаются новые манифест и сигнатуры.

В конце концов, третий способ полиморфизма — добавление мусорных файлов .temp. Удивительно, но все эти файлы .temp не выполняют никакой полезной функции, а только содержат некое таинственное изображение:

​

Расследование коллег из антивирусной компании F-Secure позволило идентифицировать индивидуума из файла .temp как некоего «свидетеля из Фрязино», который внедрён на многие фотографии методом фотомонтажа.

Дата: 06.02.2012
http://www.xakep.ru/post/58238/​

 

хахаха ребята зачот

 

порвало как дочитал про свидетеля ))

 

Жесть) Это напоминает jailbreak для iphone 1 by geohot, когда при джеилбрейке высвечивалось лицо хакера)

 

Свидетель Вроде на yaplakal над ним издевались Это МесТъ!!1

P.S.

 

ждем еще вирусов с мемами! (например рыбак )

 

Без свидетеля нынче никак =)