Warszawa, 11 kwietnia 2014. Firma Doctor Web wielokrotnie informowała o Trojanach dla systemu Android, które po zainfekowaniu urządzenia mobilnego w nieautoryzowany sposób pobierają różne aplikacje. Takie nielegalne działanie pozwala cyberprzestępcom nie tylko skutecznie rozpowszechniać ich złośliwe oprogramowanie, ale także czerpać korzyści finansowe z instalowania przez użytkowników legalnych programów. Nowe Trojany typu downloader, zidentyfikowane przez analityków z Doctor Web, po raz kolejny potwierdzają rosnące zainteresowanie cyberprzestępców wykorzystaniem tego rodzaju narzędzi. Odkryte przez nich nowe złośliwe aplikacje są dystrybuowane za pomocą Trojana typu dropper (pobierającego i wypakowującego główne elementy złośliwego oprogramowania), dodanego do bazy wirusów Dr.Web jako Android.MulDrop.18.origin.
W czasie uruchomienia, Trojan ten za pomocą specjalnej biblioteki odszyfrowuje dwa zawarte w jego zasobach pakiety APK (od ang. plik Android Package), a następnie wykorzystując metodę DexClassLoader (tzn. bez udziału użytkownika) ładuje do pamięci zawarte w nich pliki wykonywalne Dex – wykrywane przez antywirusa Dr.Web jako Android.DownLoader.57.origin i Android.DownLoader.60.origin. Jeśli aktywacja się powiedzie, programy te nawiązują połączenie ze zdalnym serwerem, gdzie otrzymują listę aplikacji, które mają zostać pobrane na dane urządzenie mobilne. Równocześnie, w określonych odstępach czasu, oprócz aplikacji mogą być również pobierane inne pliki. Analitycy Doctor Web zidentyfikowali wśród nich zarówno nowe, jak i znane już szkodliwe oprogramowanie należące do kilku rodzin, takich jak Trojany Android.SmsSend i Android.Backdoor. Tym samym cyberprzestępcy mogą przeprowadzić atak na właścicieli urządzeń z systemem Android według różnych scenariuszy, używając w tym celu wymaganego rodzaju złośliwych aplikacji, począwszy od zwykłych Trojanów SMS, do zaawansowanych Trojanów typu spyware. Ponadto inny, potencjalny sposób wykorzystania omawianych wersji Trojanów typu downloader polega na rozsyłaniu legalnych aplikacji i gier, z instalacji których oszuści czerpią korzyści finansowe.
Warto zauważyć, że podczas próby instalacji programów pobranych przez Trojany na urządzenia mobilne, wymagane jest potwierdzenie tego działania przez użytkowników. Należy zatem zwracać szczególną uwagę przy zatwierdzaniu instalacji oprogramowania, którego świadomie nie pobraliśmy na swoje urządzenie.
Obecnie eksperci Doctor Web zidentyfikowali również drugą wersję droppera Android.MulDrop.18.origin, zawierającą, w przeciwieństwie do pierwszej, niezaszyfrowane wersje Trojanów typu downloader, dodanych do bazy wirusów jako Android.DownLoader.59.origin i Android.DownLoader.61.origin. Mechanizm ich połączenia ze zdalnym serwerem różni się nieco od tego, jaki jest realizowany w przypadku Android.DownLoader.57.origin i Android.DownLoader.60.origin, ale ostateczny cel ich działania pozostaje bez zmian i polega na pobraniu i zainstalowaniu aplikacji na urządzeniu mobilnym z system Android. Wszystkie wyżej wymienione rodzaje złośliwego oprogramowania zostały dodane do baz wirusów Dr.Web i nie zagrażają użytkownikom programów antywirusowych Dr.Web dla platformy Android.
O firmie Doctor Web
Doctor Web to rosyjski producent narzędzi bezpieczeństwa informacyjnego. Program antywirusowy Dr.Web opracowywany jest od 1992 r. Doctor Web jest jednym z nielicznych dostawców programów antywirusowych na świecie, który posiada własną technologię wykrywania i leczenia złośliwego oprogramowania. Firma dysponuje silnikiem antywirusowym własnego autorstwa, własnym laboratorium analitycznym, serwisem wsparcia technicznego oraz globalnym serwisem monitorowania wirusów. Produkty Dr.Web są popularne na całym świecie – korzystają z nich prywatni użytkownicy, przedsiębiorstwa, instytucje państwowe, niewielkie organizacje i duże strategiczne korporacje. Liczne certyfikaty i nagrody państwowe świadczą o dużym zaufaniu do programu antywirusowego Dr.Web.
Dostępność produktów Dr.Web w Polsce
Oficjalnymi dystrybutorami produktów Dr.Web w Polsce są:
– SOFTNOW: www.softnow.pl
– TECHNOLOGIE INTERNETOWE S.A.: www.ti.com.pl, www.drweb.com.pl
Joanna Schulz-Torój
Biuro Doctor Web w Polsce
ul. Widok 8, 00-023 Warszawa
Tel.: (+48) 514 601 813
E-mail: [email protected]
WWW: www.drweb.com
Słowa kluczowe: android, DrWeb, trojan