Определение ОС компьютера пользователя и выдача ему соответствующего контента сегодня уже не диковинка интернет-технологий. Этим механизмом давно пользуются и вирусописатели. Но платформа Apple MAC OS в этом механизме используется довольно редко. Тем интереснее был обнаруженный нами Java-даунлоадер, который загружал в систему зловредов в зависимости от ОС зараженного компьютера.

Часть кода Trojan-Downloader.Java.OpenConnection.fa, определяющего ОС компьютера жертвы

Каждый день появляются новые сообщения о вредоносных программах для Android. Однако на этот раз три разработчика – MYOURNET, Kingmall2010 и we20090202 (не исключено, что это один и тот же человек) – предлагали для бесплатной загрузки несколько приложений для устройств на базе Android не где-нибудь, а на Android Market.

Многие, если не все, предлагаемые ими приложения оказались копиями легитимных программ, созданных другими разработчиками, с добавленным троянским функционалом.

Я, в частности, загрузил приложение под названием Super Guitar Solo. Анализ показал, что оно содержит популярный root-эксплойт «rage against the cage», позволяющий троянцу получить на телефонах Android права root-доступа и вместе с ними – привилегии суперпользователя. Как скажет вам любой Linux-гуру, права суперпользователя обеспечивают полный – на уровне администратора – доступ к операционной системе телефона. В данном случае запуск эксплойта происходит без согласия пользователя.

Какова же цель этого троянца? Программа пытается собрать, среди прочего, следующие данные: product ID, user ID, тип устройства, язык, страну и др. – и загрузить собранные данные на удаленный сервер. В отличие от большинства других известных нам образцов, этот зловред не делает попыток отправлять платные SMS-сообщения на премиум-номера.

Мы придаем этому инциденту такое значение потому, что до сих пор практически все вредоносные программы для Android появлялись за пределами Android Market. Соответственно, для заражения телефонов требовались дополнительные усилия. Однако новая версия Android Market позволяет устанавливать приложения на устройство удаленно – через веб-интерфейс. Об этом мы уже писали в блоге «Темная сторона нового Android Market».

Кроме того, как и предсказывали в прошлом году наши эксперты, киберпреступники взяли на вооружение утилиты для джейлбрейкинга (разблокировки операционной системы мобильного телефона). Об опасностях джейлбрейкинга вы можете узнать из нашего вебкаста The Dangers of Jailbreaking.

По всей вероятности, описанные выше вредоносные программы – далеко не все, что доступны в данный момент на Android Market. Специалисты «Лаборатории Касперского» рекомендуют внимательно следить за тем, какие права доступа запрашивает каждое приложение при установке. Кроме того, эта ситуация в очередной раз показывает, какие опасности таит в себе джейлбрейкинг и повышение привилегий пользователя устройства до уровня администратора (rooting). Начиная с 1 февраля продукты «Лаборатории Касперского» детектируют root-эксплойт, о котором здесь идет речь, как Exploit.AndroidOS.Lotoor.g или Exploit.AndroidOS.Lotoor.j. Так что если вы – пользователь продукта Kaspersky Mobile Security, то ваше устройство от этого зловреда защищено.

Эксперты «Лаборатории Касперского» продолжают изучение данного образца.

ОБНОВЛЕНИЕ: Google удалил из Android Market описанные нами вредоносные приложения и страницу, с которой их можно было загрузить.

Сегодня мы обнаружили первые сэмплы нового кроссплатформенного вируса. Вирус получил двойное название Virus.Linux.Bi.a / Virus.Win32.Bi.a.

Bi это очередная попытка создать вирус, работающий сразу на нескольких платформах — он способен работать как под Win32, так и под Linux.

Вирус написан на асcемблере и достаточно прост: заражает файлы только в текущем каталоге и интересен, в основном, благодаря своей кроссплатформенности.

Так как Linux и Windows имеют разные форматы исполняемых файлов (ELF и PE соответственно), то код вируса содержит функции заражения файлов обоих типов.

Под Linux вирус использует системные вызовы через INT 80 и внедряет свое тело после ELF-заголовка файла перед секцией «.text», изменяя точку входа оригинального файла.

Зараженные файлы помечаются в заголовке файла по смещению 0Bh двухбайтовой сигнатурой 7DFBh.

Под Win32 вирус использует функции Kernel32.dll.

В PE-файлы вирус внедряется путем добавления тела в последнюю секцию. Управление вирусу передается также путем изменения точки входа. Зараженные файлы помечаются той же сигнатурой, но используют для этого поле PE-загловка «TimeDateStamp».

Зараженные файлы содержат строки:

Кроме того, сам инфектор содержит строки:

Какого-либо практического применения этот вирус не имеет, поскольку является типичным представителем Proof-of-Concept — концептуальных вредоносных программ, призванных продемонстрировать саму возможность своего существования.

Virus.Linux.Bi.a / Virus.Win32.Bi.a уже добавлен в антивирусные базы «Лаборатории Касперского».