Mobile

Azjatycki trojan wykrada prywatne dane z Androida

przeczytasz w 1 min.

Szkodliwe oprogramowanie już dawno przestało być kłopotem znanym jedynie z komputerów. Niestety mamy już kolejny tego dowód.

Azjatycki trojan Android.Spy.40.origin atakuje urządzenia mobilne

Szkodliwe oprogramowanie już dawno przestało być kłopotem znanym jedynie z komputerów. Od pewnego czasu coraz częściej pojawia się ono również na urządzeniach mobilnych i mamy kolejny tego dowód - Android.Spy.40.origin.

Jest to program szpiegujący, który wykrada prywatne dane właścicielom urządzeń pracujących pod kontrolą systemu Android. Rozpowszechnia się on pod postacią niechcianych sms-ów zawierających link do pliku apk. Niestety, kliknięcie w takowy odnośnik równoznaczne jest z zainfekowaniem smartfona czy tabletu.

Po zainstalowaniu i uruchomieniu, Android.Spy.40.origin zgłasza chęć dostępu do funkcji administratora urządzenia, a następnie usuwa swoją ikonę z ekranu głównego. Dzięki temu może on działać w sposób niezauważalny dla przeciętnego użytkownika. Później łączy się tylko ze zdalnym serwerem i otrzymuje z niego dalsze instrukcje.

Trojan może wyrządzić naprawę spore szkody. Wedle informacji dostarczonych przez Doctor Web jest on w stanie:

  • przechwycić przychodzące wiadomości SMS i przesłać je na zewnętrzny serwer (dla użytkownika będą one niewidoczne)
  • zablokować połączenia wychodzące
  • wysłać na serwer listę kontaktów i zainstalowanych aplikacji
  • usunąć lub zainstalować aplikację
  • wysyłać SMS-y na dowolne numery

Trojan Android.Spy.40.origin

Wspomniany plik apk to archiwum zip o zmienionym rozszerzeniu. W każdym z nich istnieje specjalne pole General purpose bit flag i to właśnie ono zostało tutaj wykorzystane przez cyberprzestępców. W sytuacji, kiedy dane w archiwum są zabezpieczone hasłem, aktywny jest zerowy bit tego pola. Pomimo braku hasła, ustawienie owego bitu na „1” oznacza, że archiwum przetwarzane będzie tak, jakby było zabezpieczone.

Przy próbie rozpakowania go powinna pojawić się zatem prośba o wprowadzenie hasła. W systemie Android występuje jednak błąd, który skutkuje zignorowaniem uaktywnionego w archiwum zerowego bitu i umożliwia zainstalowanie złośliwej aplikacji.

Niestety programy antywirusowe dopiero teraz są aktualizowane tak, by radziły sobie z wykrywaniem Android.Spy.40.origin. Wprawdzie trojan atakuje obecnie głównie mieszkańców Korei Południowej, ale analitycy firmy Doctor Web przewidują, że wkrótce jego mutacje zaczną rozprzestrzenić się także wśród użytkowników z innych krajów.

Źródło: Doctor Web

Komentarze

8
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    9
    Niech sobie trojan atakuje do woli moją stareńką nokię model "cegła"
    • avatar
      Abgan
      5
      Dość wymagający jest ten trojan - trzeba zainstalować apkę korzystając z linka, który przyszedł SMSem. Następnie trzeba dać jej uprawnienia admina... Przypomina słynnego albańskiego wirusa :-D

      Może prościej byłoby jakby w SMSie od razu przyszła prośba o wysłanie telefonu kurierem pod wskazany adres? :-)
      • avatar
        jkbrenna
        1
        Atakuje Poludniowa Koreje, to chyba nie nalezy duzo wyobrazni miec, aby wywniiskowac skad on przyszedl...
        • avatar
          Konto usunięte
          0
          META-INF, czy tylko mi od razu do głowy przyszedł minkraft? :D