Жадный троянец Роман Унучек Эксперт «Лаборатории Касперского» опубликовано 22 мар 2013, 14:37 MSK Сюжеты: Угрозы для мобильных устройств, Google Android http://www.securelist.com/ru/blog/207764524/Zhadnyy_troyanets Вирусописатели всегда старались сбивать детектирование антивирусов. В последнее время в случае с Trojan-SMS под платформу Android для этих целей активно используются Trojan-Downloader: создается маленькое незаметное приложение, весь функционал которого заключен в выкачивании и установке Trojan-SMS, который, в свою очередь, уже будет опустошать счет пользователя. Один из таких троянцев и привлек наше внимание. При установке он требует минимум разрешений и показывает иконку от легального приложения «WiFi Mouse HD». Чем же он интересен? Большая часть подобных троянцев обладает минимальным функционалом. В этом же файле достаточно много кода. Соответственно, его поведение не так уж и просто. Первым делом троянец обращается к командному серверу, на котором регистрирует инфицированный телефон. Если доступа к интернету нет, то приложение тут же завершится. Если же с командным сервером удалось связаться, то приложение показывает пользователю некую картинку и начинает обрабатывать ответ сервера. Ответ сервера закодирован алгоритмом Base64 и зашифрован алгоритмом AES. Если же его расшифровать, то можно увидеть интересный список Android приложений: Это список некоторых антивирусных программ для Android. Зачем же они нужны этому троянцу? Посмотрим код: Этот троянец проверяет наличие в системе антивирусных программ, и если таковые обнаружены, то вредоносная программа завершает свою работу. Кроме этого, в том же ответе сервера содержаться указания к действию: В ответе сервера содержатся зашифрованные ссылки на приложения для Android (на скриншоте подчеркнуты красным). Расшифровав эти ссылки и скачав соответствующие файлы, мы обнаружили еще одну особенность этого троянца – жадность. Он последовательно скачивает 4 (!) Trojan-SMS от двух крупнейших партнерских программ. И только пятый файл – оригинальное чистое приложение «WiFi Mouse HD». Троянцы одной партнерской программы отличаются только конфигурационными файлами. Различия же между троянцами разных партнерских программ значительны – их объединяет только функционал отправки премиум SMS и использование шифрования для сокрытия своих конфигурационных файлов. Мы детектируем эти троянские программы как WiFi_Mouse_HD_v1_1p.apk - HEUR:Trojan-SMS.AndroidOS.Opfake.a WiFi_Mouse_HD_v1_1p1.apk - HEUR:Trojan-SMS.AndroidOS.Opfake.a WiFi_Mouse_HD_v1_1_1.apk - HEUR:Trojan-SMS.AndroidOS.Opfake.bo WiFi_Mouse_HD_v1_1_2.apk - HEUR:Trojan-SMS.AndroidOS.Opfake.bo Даунлоадер после скачивания каждого Trojan-SMS запускает его установку. Эти Trojan-SMS выдают себя за оригинальное приложение, в данном случае «WiFi Mouse HD», поэтому система запрашивает у пользователя подтверждение на установку именно этого приложения: После запуска эти троянцы имитируют процесс установки, после чего отправляют премиум сообщения с зараженных мобильных устройств. Trojan-SMS нацелены в основном на русскоязычных пользователей России, Украины и Казахстана. HEUR:Trojan-SMS.AndroidOS.Opfake.a после запуска могут отправить до 5 SMS общей стоимостью до 400 рублей. Файлы, детектируемые как HEUR:Trojan-SMS.AndroidOS.Opfake.bo, в свою очередь, отправляют SMS на сумму примерно 240 рублей. Точное количество отправленных сообщений и их стоимость могут отличаться для разных стран и операторов. В целом за отправленные троянцами премиум SMS придется заплатить около 1000 рублей. Вернемся к первоначальному троянцу-даунлоадеру. Эту вредоносную программу мы детектируем как HEUR:Trojan-Downloader.AndroidOS.Fav.a. Еще одним интересным моментом являются «красивые» имена доменов, используемые в работе этого троянца: android-google-downloads.net android-google-play.net android-google-apps.net android-google-cache.net dl2-android-appss.net dl1-android-appss.net dl4-android-google-apps.net Отметим, что по данным сервиса Whois, DNS-серверы трех из семи доменов хостятся у российского провайдера, при этом четыре домена (включая один с российским хостингом DNS-сервера) зарегистрированы на людей с русскими именами и фамилиями. Эти домены используются для распространения всех троянцев —как первоначального Trojan-Downloader, так и четырех Trojan-SMS. Даже чистое приложение «WiFi Mouse HD» скачивается с одного из одного из этих доменов. Некоторые домены используются троянцем и как командный сервер и сервер для отправки статистики. Все эти домены были нами задетектированы. В итоге: HEUR:Trojan-Downloader.AndroidOS.Fav.a — «жадный» троянец, который нацелен на русскоязычных пользователей и обладает достаточно большим функционалом по сравнению со своими аналогами. Он оказался весьма популярным у злоумышленников. По данным KSN, эта вредоносная программа попадала в TOP10 заблокированных установок на телефонах наших пользователей с середины декабря 2012 года, т.е. с тех пор, когда мы обнаружили его первую модификацию. На него пришелся почти 1% от числа всех заблокированных установок за этот период. Хотя он и не дотягивает до популярности Trojan-SMS – такие зловреды детектируются практически в 20 раз чаще.
