31 июля 2013 года
С такого момента, насколько уведомление об уязвимости Master Key предстала достоянием общественности, основная масса знатоков по информационной безопасности были уверены, точно раным-ранехонько либо же же поздно преступники несомненно воспользуются отысканной в ОС Android лазейкой, так как-нибудь с технической точки зрения употребление этой программной ошибки закончить составляет никакой сложности. так точно действительно, гораздо чем чрез луна после раскрытия подробностей предоставленной уязвимости уже явилась эксплуатирующая ее вредная программа.
Обнаруженный троянец, добавленный в вирусную основание Dr.Web под именованием Android.Nimefas.1.origin, распространяется в Android-приложениях в облике измененного киберпреступниками dex-файла так точно располагается вблизи с неординарным dex-файлом программы. Напомним, точно уязвимость Master Key заключается в индивидуальностях обработки устанавливаемых приложений одним из компонент ОС Android: в случае, в случае коли apk–пакет содержит в одном подкаталоге плохо файла с одинаким именем, операционная система испытывает цифровую подпись первого файла, однако устанавливает второстепенный файл, испытание коего закончить производилась. подобным образом, обходится хаки механизм, препятствующий установки приложения, измененного третьими лицами.
На изображении ниже продемонстрирован образец одной из инфицированных Android.Nimefas.1.origin программ:
Запустившись на инфицированном мобильном устройстве, троянец, в первую очередь, проверяет, деятельна ли хотя бы одна из служб, принадлежащих ряду китайских антивирусных приложений.
В случае в случае коли хотя бы одна из них обнаруживается, Android.Nimefas.1.origin измеряет присутствие root-доступа способом розыска файлов "/system/xbin/su" либо же же "/system/bin/su". в случае коли подобные файлы присутствуют, троянец прекращает работу. в случае коли же ни одно из приведенных условий закончить выполняется, вредная программа продолжает функционировать.
В частности, Android.Nimefas.1.origin делает отправку идентификатора IMSI на одинехонек номеров, избираемый случайным образом на основании имеющегося списка.
Далее троянец изготовляет СМС-рассылку по всем контактам, содержащимся в телефонной книжке инфицированного мобильного устройства. Текст для этих извещений загружается с удаленного сервера. уведомление об использованных для рассылки контактах после передается на этот же сервер. вредная программа способна отправлять так точно произвольные СМС-сообщения на всевозможные номера. нужная для этого уведомление (текст извещений так точно гостиница телефонов) берется с управляющего узла.
Троянец в силах тоже хоронить от юзера входящие сообщения. должный фильтр по номеру либо же же тексту принимаемых СМС загружается с управляющего центра злоумышленников.
В сегодня минута удаленный сервер, применяемый киберпреступниками для управления вредной программой, уже закончить функционирует.
На настоящий минута троянец Android.Nimefas.1.origin воображает самую большую угроза для китайских пользователей, т.к. распространяется в большущем численности игр так точно приложений, доступных для загрузки на одном из китайских сайтов - сборников ПО. Его представители уже оповещены о предоставленной проблеме. для тех закончить менее, закончить исключено, точно в наиблежайшее минута количество эксплуатирующих уязвимость Master Key вредных программ увеличится, и, соответственно, расширится география распространения угрозы. перед началом тех пор, покуда производители мобильных Android-устройств закончить выпустят соответственное обновление операционной системы, закрывающее эту уязвимость, многие юзеры имеют абсолютно все шансы потерпеть от аналогичных вредных приложений. Учитывая, точно бездна представленных на базаре механизмов уже закончить поддерживается производителями, них обладатели рискуют остаться так точно решительно без защиты.
Все юзеры антивирусных продуктов Dr.Web для Android накрепко защищены от Android.Nimefas.1.origin: троянец счастливо детектируется при поддержки технологии Origins TracingTM. за исключением того, apk-файл, содержащий эту вредоносную программу, определяется антивирусом Dr.Web насколько Exploit.APKDuplicateName.
НОВОЕ НА САЙТЕ
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года
1 апреля 2024 года
1 апреля 2024 года