Опасный Android-троянец распространяется при помощи SMS-сообщений

Массовая отправка содержащих ссылку на загрузку вредоносной программы SMS-сообщений становится все более популярным методом распространения современных Android-угроз. Подобный механизм доставки троянцев на мобильные устройства киберпреступники не только применяют при организации спам-рассылок, но и внедряют в создаваемые ими вредоносные приложения, наделяя их функциональностью SMS-червей. Одна из таких вредоносных программ, обнаруженная специалистами компании «Доктор Веб» в начале ноября, представляет собой опасного бота, способного по команде злоумышленников отправлять SMS, удалять установленные программы и файлы пользователей, красть конфиденциальную информацию, атаковать веб-сайты и выполнять на зараженном устройстве множество других нежелательных действий.

Внесенная в вирусную базу Dr.Web под именем Android.Wormle.1.origin, новая Android-угроза представляет собой многофункционального бота, обладающего широкими возможностями. После установки троянец не создает ярлык на главном экране операционной системы и функционирует на зараженном устройстве в качестве системного сервиса с именем com.driver.system.

Android.Wormle.1.origin устанавливает соединение с командным центром, после чего ожидает поступления дальнейших указаний злоумышленников. Примечательно, что управление ботом может выполняться киберпреступниками как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging – сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google.

Данный троянец обладает чрезвычайно обширным функционалом. В частности, бот способен выполнить следующие действия:

• отправить SMS-сообщение с заданным текстом на один или несколько номеров, указанных в команде;
• разослать SMS-сообщение c заданным текстом по всем номерам из телефонной книги;
• занести в черный список определенный телефонный номер, чтобы заблокировать поступающие с него SMS-сообщения, а также звонки;
• выполнить USSD-запрос (номер, с которого планируется получить ответ на произведенный запрос, заносится в черный список в соответствии с отданной командой – это сделано для того, чтобы заблокировать получение пользователем ответных сообщений);
• переслать на управляющий сервер информацию обо всех полученных SMS-сообщениях, а также совершенных звонках;
• включить диктофонную запись, либо остановить ее, если запись уже ведется;
• получить информацию об учетных записях, привязанных к зараженному устройству;
• получить информацию обо всех установленных приложениях;
• получить информацию о списке контактов;
• получить информацию о мобильном операторе;
• получить информацию об установленной версии ОС;
• получить информацию о стране, в которой зарегистрирована SIM-карта;
• получить информацию о телефонном номере жертвы;
• удалить указанное в команде приложение (для этого троянец демонстрирует специально сформированное диалоговое окно, призванное заставить пользователя выполнить удаление);
• получить информацию о хранящихся на карте памяти файлах и каталогах;
• загрузить на управляющий сервер zip-архив, содержащий указанный в команде файл или каталог;
• удалить заданный файл или каталог;
• удалить все хранящиеся на устройстве SMS-сообщения;
• выполнить DDoS-атаку на указанный в команде веб-ресурс;
• установить связь с управляющим сервером, используя специальные параметры;
• изменить адрес управляющего сервера;
• очистить черный список номеров.

Таким образом, Android.Wormle.1.origin позволяет киберпреступникам решать самые разные задачи, начиная с рассылки платных SMS-сообщений и кражи конфиденциальных данных и заканчивая организацией DDoS-атак на различные веб-сайты. Кроме того, функционал вредоносной программы позволяет злоумышленникам получить доступ к банковским счетам пользователей, поэтому данный бот может использоваться и в качестве банковского троянца, что расширяет сферу его применения.

Android.Wormle.1.origin реализует функционал SMS-червя, распространяясь среди владельцев Android-устройств при помощи SMS-сообщений, содержащих ссылку на загрузку копии вредоносной программы. Например, такие сообщения могут иметь следующий вид:

«Я тебя люблю http://[]app.ru/*number*», где «number» – номер получателя SMS.

Подобные сообщения рассылаются по всем телефонным номерам из книги контактов пользователей, поэтому за короткий промежуток времени Android.Wormle.1.origin способен заразить большое число мобильных устройств, значительно увеличив размер созданной киберпреступниками бот-сети. Полученная специалистами компании «Доктор Веб» статистика показывает, что на данный момент вредоносная программа успела инфицировать более 14 000 Android-смартфонов и планшетов, принадлежащих пользователям из более чем 20 стран. Наибольшее число – 12 946 (или 91,49 %) инфицированных троянцем мобильных устройств находится в России, далее с заметным отставанием следуют устройства из Украины (0,88 %), США (0,76 %), Беларуси (0,51 %), Казахстана (0,25 %), Узбекистана (0,21 %), а также Таджикистана (0,15 %). Географическое распределение созданного Android.Wormle.1.origin «мобильного» ботнета представлено на следующей иллюстрации:

Специалисты компании «Доктор Веб» продолжают наблюдать за развитием ситуации. Запись для детектирования этой угрозы была оперативно внесена вирусную базу, поэтому пользователи Антивируса Dr.Web для Android и Антивируса Dr.Web для Android Light надежно защищены от данного троянца.