Обнаружен Android-троян, получающий список управляющих центров из Twitter

23/06/2012 01:43

Экспертам «Лаборатории Касперского» удалось обнаружить интересную программу для Android-платформ, которую они поспешили назвать Backdoor.AndroidOS.Cawitt.a. Данная программа распространяется путем адресной рассылки в виде вложения, представляющего собой APK-архив. При изучение программного кода "трояна", специалистов удивили применяемые алгоритмы запутывания кода. Каждый класс и каждый метод названы мужскими именами и многие функции имеют одинаковые имена (что в целом характерно для Java-приложений, но во вредоносном ПО сильно усложняет анализ). Кроме того, веб-адреса, к которым обращается приложение для получения команд, также формируются в результате строковых операций по оригинальному алгоритму. После запуска, "троян" с помощью набора строк формирует адрес страницы сервиса микроблогов Twitter, из которого получает список веб-ресурсов, являющихся управляющими центрами. Используя полученные веб-адреса, Backdoor.AndroidOS.Cawitt.a формирует POST-запрос, сообщая о своей готовности к выполнению команд. В составе этого запроса также передается, информация (ID-устройства, IMEI и телефонный номер), уникально идентифицирующая зараженное устройство. Единственной обнаруженной вредоносной функцией "трояна", является отправка SMS-сообщений с заданным текстом, на определенный телефонный номер, получаемых из управляющего центра. Об успешном выполнение этой команды, "троян" сообщает в управляющий центр. Специалистам «Лаборатории Касперского» не удалось зафиксировать команды управляющего центра и их выполнение, однако они смели предположить, что данная функция может использовать для отправки сообщений на платные номера. По мнению наблюдателей, в «Лаборатории Касперского» ошиблись, приняв программу для автоматизации SMS-голосований за троян. Такие мобильные приложения неоднократно использовались в различных ТВ- и радиопередачах для участия в телефонных голосованиях. Как правило, пользователи, предоставляющие свои устройства для автоматических голосований, получают вознаграждение за установку этих программ. Обфускация кода, могла стать вынужденной мерой с целью защиты авторских прав на программный код, а не для обхода антивирусов. Если следовать логике экспертов «Лаборатории Касперского», все ПО для Android, которое распространяется вне Google Play можно смело признавать вредоносами. В таком случае, минимальной функцией антивируса для Android, должно стать отключение возможности установки приложений из "Неизвестных источников", запрещая тем самым установку приложений, которые Google не в силах удалить самостоятельно.
Источник