Представители известного антивируса Dr.Web предостерегли пользователей смартфонов, работающих на Android, о новых вирусных программах. Об этом также сообщает ресурс Android story — Андроид блог. Появились зловреды, которые в своей деятельности используют принцип “матрешки”. В модифицированном приложении, которое детектируется антивирусом как Android.MulDrop.origin.3, находится другой программный зашифрованный пакет (в виде apk-файла).
Видимое пользователю приложение выступает в качестве контейнера или дроппера, в котором хранится сам вирус. Дроппер гарантирует, что вредоносное ПО будет скачано на смартфон. При этом в качестве контейнера-дроппера может выступать множество программ: конфигураторы, утилиты и пр. В качестве носителя троянца выбираются только те программы, которым для установки требуется задать root-права. Любой человек спокойно позволит такой программе получить их, если не будет знать о ее реальном внутреннем содержимом.
Как только Android.MulDrop.origin.3 получит необходимые права, программа приступает к расшифровке вредоносного apk-файла. Затем он помещается в специальном разделе системного каталога, который называется //system//app//. Пакет получает название ComAndroidSetting.apk. Он также относится к категории дропперов. В нем Dr.Web нашел еще один apk-пакет, содержащийся в зашифрованном виде.
Запуск собственно трояна происходит после перезапуска Android. В его задачу входит установка специального программного пакета. Он же является еще одним троянцем, уже реально выполняющим вредоносные действия. В частности, последний вирус, известный под именем Android.DownLoader.origin.2, выходит в мобильный Интернет и связывается со своим создателем. Хакер указывает, какие программы троянцу следует скачать и установить на телефон пользователя. Какие именно программные продукты будут таким образом инсталлированы на смартфон человека, определить невозможно. В каждом отдельном случае они могут быть различными: от безобидных программок до новых вирусов и их целых пакетов. Все зависит от целей, преследуемых хакерами.
Кроме этого, в конце апреля этого года Dr.Web вычислил новый вариант дроппера, названного по аналогии с предыдущим – Android.MulDrop.origin.3. Распространяется он так же, как и первый – через скачиваемые пользователем программы. Однако функционирует иначе. Расшифровав apk-пакет, он старается записать его на любую доступную карту памяти. При этом, если посмотреть на панель управления, то можно увидеть его сообщение: “Android Patch 8.2.3”. Как только человек нажимает на него, вирус приступает к инсталляции. Тем не менее, хакеры допустили ошибку, вследствие чего троян не в состоянии осуществить запись файла на карточку памяти.
Впрочем, создатели вируса могут вскоре исправить свою ошибку. Так что, надеяться на то, что ваш смартфон в безопасности, не стоит. Если бы дроппер заработал так, как хотели хакеры, то в системе установился бы Android.DownLoader.origin.1. Это троян-загрузчик. Каждый раз при включении мобильного устройства он бы автоматически стартовал, получал от своих хозяев очередной xml-файл и устанавливал на телефон все перечисленные в нем приложения.
Заметить эти манипуляции можно только, если у владельцев нет root-доступа. В противном случае все происходит незаметно. Оба описанных дроппера создали одни и те же люди. Можно ожидать, что новые вирусы от них не заставят себя долго ждать. Будьте осторожны!