Новая модификация Android.Gongfu загружает ПО без ведома пользователя
9 апреля 2012 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает пользователей мобильной платформы Android о распространении новой модификации Android.Gongfu. Злоумышленники встраивают этот троянец в различные программы и игры, распространяющиеся через неофициальные сайты-сборники программного обеспечения. Новый Android.Gongfu способен не только передавать злоумышленникам информацию об инфицированном устройстве и выполнять поступающие от удаленного сервера команды, но также загружать и устанавливать другие приложения без ведома пользователя.
Вредоносные программы семейства Android.Gongfu отличаются способностью установить на зараженном мобильном устройстве другое приложение, которое добавляется в инфицированную систему в качестве фонового сервиса. Установленный троянцем сервис запускается автоматически без участия пользователя и собирает данные об устройстве, включая версию операционной системы, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользователя. Впоследствии вся эта информация передается злоумышленникам. Помимо этого, Android.Gongfu может выступать в роли бэкдора, способного выполнять получаемые от злоумышленников команды.
За последние несколько недель обновленная модификация троянца Android.Gongfu была обнаружена сразу в нескольких приложениях, распространяющихся через неофициальные сайты-сборники программного обеспечения. В частности, этот троянец был выявлен в модифицированном злоумышленниками дистрибутиве популярной игры Angry Birds Space.
В отличие от первых реализаций Android.Gongfu, новые модификации троянца не используют уязвимость Android, позволявшую им без участия пользователя повысить собственные привилегии в системе до уровня root. Вместо этого в комплекте с инфицированным приложением пользователю предлагается специальная пошаговая инструкция, позволяющая запустить ОС с полномочиями администратора. В инструкции утверждается, что это, якобы, необходимо для корректной работы программы или ее обновления. После запуска с администраторскими привилегиями Android.Gongfu получает возможность встраиваться в системные процессы Android, включая процессы, критичные для стабильной работы ОС. Троянец способен не только передавать злоумышленникам информацию об инфицированном устройстве и выполнять поступающие от удаленного узла команды, но также загружать и устанавливать в ОС другие приложения без ведома пользователя.
Все известные на сегодняшний день модификации Android.Gongfu успешно детектируются Dr.Web для Android Антивирус + Антиспам и Dr.Web 7.0 для Android Light с использованием технологии Origins Tracing™. Благодаря этой технологии для каждой вредоносной программы создается описание алгоритма ее поведения, которое добавляется в вирусную базу. При этом одной такой записи вполне достаточно для целого семейства вредоносных приложений, за счет чего можно обеспечить оперативное детектирование новых модификаций такого семейства, а также заметно сократить объем вирусных баз. Технология Origins Tracing™ является уникальной разработкой компании «Доктор Веб», не имеющей на сегодняшний день аналогов.
Во избежание заражения вредоносным ПО компания «Доктор Веб» рекомендует пользователям загружать и устанавливать приложения только с официального сайта Google Play (play.google.com). Остерегайтесь запускать на своем устройстве какие-либо программы, требующие для своей работы администраторские привилегии.
Источник: "Доктор Веб"