С тех пор как я писал о Backdoor.AndroidOS.Ssucl.a прошло совсем немного времени, но нам снова удалось обнаружить вредоносное приложение в Google Play.

8 февраля 2013 года ЛК обнаружила Trojan-Downloader.AndroidOS.Kaneot.a:

Пользователи недорогих смартфонов на базе ОС Android ищут способы ускорить свой девайс, например, высвободить на нём память. Исходя из спроса на софт, который позволит работать смартфону чуть быстрее, рождается и предложение, куда входит и вредоносное ПО. Наряду с чистыми приложениями, в магазине Google Play появились приложения, которые лишь делают вид, что чистят систему.

Случаи, когда вредоносное ПО, работающее на PC, инфицирует мобильное устройство, нам были известны и ранее. Совсем другое дело – когда приложение, работающее на мобильном устройстве - смартфоне, умеет инфицировать PC.

22 января 2013 г. Лаборатории Касперского удалось обнаружить в Google Play следующее приложение:

Как видно, приложение имеет неплохую популярность. И ему ставят хорошие оценки:

Это приложение имеет брата-близнеца с точно такими же функциями, но c другим названием:

Как я говорил в своем прошлом посте, количество вредоносного ПО для платформы Android неуклонно растёт. Причин роста много, в том числе та, что стать участником партнёрской программы и приступить к распространению вредоносного ПО может каждый и таких людей становится все больше. А те, кто в черном бизнесе уже давно, наращивают свои мощности и выдают всё больше вредоносного ПО. Пока речь идёт о количественной характеристике, будем называть это "ростом вширь". Рост интенсивный мы считаем качественным – в данном случае речь идёт о совершенствовании создаваемого вирусописателями ПО. Как правило, это уникальные образцы зловредов, написанные одним человеком или группой лиц. Такие зловреды совершенно не похожи на общие тренды.

Определение ОС компьютера пользователя и выдача ему соответствующего контента сегодня уже не диковинка интернет-технологий. Этим механизмом давно пользуются и вирусописатели. Но платформа Apple MAC OS в этом механизме используется довольно редко. Тем интереснее был обнаруженный нами Java-даунлоадер, который загружал в систему зловредов в зависимости от ОС зараженного компьютера.

Часть кода Trojan-Downloader.Java.OpenConnection.fa, определяющего ОС компьютера жертвы

Сегодня cмартфоны стали стандартом связи. Обычные трубки, без поддержки JAVA, можно увидеть разве что в ларьках в переходах метро.

Революция в развитии смартфона уже давно произошла, и сейчас мы пожинаем ее плоды. Но так ли все хорошо, как думает большинство пользователей?

Насколько безопасно пользоваться огромным количеством платных и бесплатных приложений, предлагаемых на разных маркетах и форумах? Насколько безопасно качать Opera Mini с сайта, который к Opera никакого отношения не имеет? Ответ известен: небезопасно. Как минимум, это грозит потерей пары-тройки долларов, которые снимет Trojan-SMS, отсылая сообщения на премиум номера.

Какой смартфон, какая мобильная платформа безопаснее? Однозначного ответа на эти вопросы нет. На разного рода конкурсах любые смартфоны "ломают" на скорость и время — чем быстрее, тем лучше. А случаи заражения зафиксированы практически для всех мобильных платформ, которые пользуются спросом у пользователей.

Если исходить из количества антивирусных записей в базе данных ЛК, то в течение последних двух лет и вплоть до недавнего времени на рынке вредоносного ПО для мобильных платформ доминировали разного рода троянцы и потенциально опасное ПО для платформы J2ME. Это объясняется тем, что почти в любом мобильном телефоне есть поддержка J2ME. Иногда с некоторыми ухищрениями эти приложения можно запустить и на смартфонах.

За три квартала 2011 года число новых сигнатур, детектирующих J2ME вредоносное ПО, составило 841, в то время как за весь 2010 год было добавлено 386 сигнатур. Таким образом, количество новых сигнатур увеличилось более чем в 2 раза.

Популярность платформы Android с каждым днем растет, и внимание вирусописателей все больше и больше сосредоточивается на этой уже распространенной платформе.

Наряду с "тяжелыми" вредоносными программами семейств Trojan-Spy.AndroidOS.Nickspy или Trojan-Spy.AndroidOS.Geinimi, стали появляться более простые с точки зрения функционала и вида вредоносные приложения. Такие как Trojan-SMS.AndroidOS.Opfake, полностью идентичные по функционалу семейству Trojan-SMS.J2ME.OpFake.

В последнее время среди множества SMS-троянцев наиболее часто упоминаются зловреды для платформ J2ME и Android. Однако это вовсе не значит, что злоумышленники забыли о других операционных системах. Подтверждением тому является новое семейство троянцев для платформы Windows Mobile: Trojan-SMS.WinCE.Pocha. На данный момент мы обнаружили три модификации данного зловреда.

Он распространяется в виде установочных CAB-файлов, содержащих и легальные приложения, например антивирусное ПО или Google Maps, и три зловредных объекта со следующими именами:

• viconect.exe
• hide.exe
• wmoff.exe

Эти файлы наносят урон непосредственно пользователю, скрывая свою деятельность и отсылая SMS на премиум-номера. Помимо данных файлов, внутри архивов есть объекты hardware.dll и http.dll, которые осуществляют вспомогательную деятельность: выполняют http-запросы и системные вызовы.

При наличии на смартфоне доступа в интернет троянец может обновлять номер и текст отсылаемого им сообщения. При этом номер может быть любым. Уникальность троянца в том, что с помощью этого механизма обновляемых сообщений автор зловреда осуществляет мошенническую деятельность и шантаж. Такого на практике ещё не встречалось.

Нам удалось загрузить следующие варианты сообщения:
%+795047*****%ВЕРНИ ДЕНЬГИ !!! %10%24%1%false%
или
%+38050******%Бойся! Я все знаю%11%11%1%false%