31 июля 2013 года
С такого момента, словно оповещение об уязвимости Master Key предстала достоянием общественности, большая часть знатоков по информационной безопасности были уверены, чисто раным-рано либо поздно преступники неизбежно воспользуются отысканной в ОС Android лазейкой, так ровно с технической точки зрения применение этой программной ошибки закончить составляет никакой сложности. так чисто действительно, закончить более чем спустя луна следом раскрытия подробностей заданной уязвимости уже явилась эксплуатирующая ее вредная программа.
Обнаруженный троянец, добавленный в вирусную основание Dr.Web под именованием Android.Nimefas.1.origin, распространяется в Android-приложениях в образе измененного киберпреступниками dex-файла так чисто располагается около с необычным dex-файлом программы. Напомним, чисто уязвимость Master Key заключается в индивидуальностях обработки устанавливаемых приложений одним из компонент ОС Android: в случае, в случае в случае в случае коли apk–пакет содержит в одном подкаталоге двойка файла с однообразным именем, операционная система испытывает цифровую подпись первого файла, однако устанавливает другой файл, испытание коего закончить производилась. подобным образом, обходится хаки механизм, препятствующий установки приложения, измененного третьими лицами.
На изображении дальше продемонстрирован образчик одной из инфицированных Android.Nimefas.1.origin программ:
Запустившись на инфицированном мобильном устройстве, троянец, в первую очередь, проверяет, деятельна ли хотя бы одна из служб, принадлежащих ряду китайских антивирусных приложений.
В случае в случае в случае в случае коли хотя бы одна из них обнаруживается, Android.Nimefas.1.origin измеряет присутствие root-доступа способом розыска файлов "/system/xbin/su" либо "/system/bin/su". в случае в случае в случае коли подобные файлы присутствуют, троянец прекращает работу. в случае в случае в случае коли же ни одно из приведенных условий закончить выполняется, вредная программа продолжает функционировать.
В частности, Android.Nimefas.1.origin делает отправку идентификатора IMSI на одинакий номеров, избираемый случайным образом на основании имеющегося списка.
Далее троянец вырабатывает СМС-рассылку по всем контактам, содержащимся в телефонной книжке инфицированного мобильного устройства. Текст для этих извещений загружается с удаленного сервера. оповещение об использованных для рассылки контактах потому передается на этот же сервер. вредная программа способна отправлять так чисто произвольные СМС-сообщения на всевозможные номера. важная для этого оповещение (текст извещений так чисто гостиница телефонов) берется с управляющего узла.
Троянец в силах тоже таить от юзера входящие сообщения. сообразный фильтр по номеру либо тексту принимаемых СМС загружается с управляющего центра злоумышленников.
В реальное времена удаленный сервер, применяемый киберпреступниками для управления вредной программой, уже закончить функционирует.
На этот минутка троянец Android.Nimefas.1.origin воображает самую большую угроза для китайских пользователей, т.к. распространяется в огромном численности игр так чисто приложений, доступных для загрузки на одном из китайских сайтов - сборников ПО. Его представители уже оповещены о заданной проблеме. для тех закончить менее, закончить исключено, чисто в обозримое времена численность эксплуатирующих уязвимость Master Key вредных программ увеличится, и, соответственно, расширится география распространения угрозы. перед началом тех пор, доколь производители мобильных Android-устройств закончить выпустят соответственное обновление операционной системы, закрывающее эту уязвимость, многие юзеры имеют точка шансы потерпеть от похожих вредных приложений. Учитывая, чисто прорва представленных на базаре механизмов уже закончить поддерживается производителями, них хозяева рискуют остаться так чисто совершенно без защиты.
Все юзеры антивирусных продуктов Dr.Web для Android накрепко защищены от Android.Nimefas.1.origin: троянец удачно детектируется при поддержки технологии Origins TracingTM. помимо того, apk-файл, содержащий эту вредоносную программу, определяется антивирусом Dr.Web словно Exploit.APKDuplicateName.
НОВОЕ НА САЙТЕ23 апреля 2024 года
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года