мойантивирус Новый Android-троянец скрывается от антивирусов, и

16 октября 2013 года

Компания «Доктор Веб» — отечественный производитель антивирусных денег обороны инфы — информирует о возникновении новенького Android-троянца, предназначенного для кражи у южнокорейских юзеров них секретных сведений. По своему функционалу он идентичен с подобными вредоносными программами, впрочем при его создании злодеями была применена уязвимость операционной системы Android, позволяющая опередить испытание антивирусными программами, словно значимо повышает вероятный риск для хозяев Android-устройств. В аутентичный мгновение основополагающая «зона обитания» этого троянца — Южная Корея, впрочем в грядущем его стопроцентно вероятные трансформации стопроцентно имеют все шансы приступить распространяться примерно будто в альтернативных странах.

Новый троянец, добавленный в вирусную основание Dr.Web чисто Android.Spy.40.origin, распространяется между южнокорейских юзеров при поддержке ненужных СМС-сообщений, содержащих гиперссылку на apk-файл. В аутентичный мгновение это равный из самых известных методов, какой применяют киберпреступниками в Юго-Восточной Азии (преимущественно в Южной Корее примерно будто Японии) для распространения вредного программного снабжения для ОС Android. следом инсталляции примерно будто пуска Android.Spy.40.origin запрашивает у юзера доступ к функциям админа мобильного устройства, а уж уж уж потом удаляет близкий значок с головного экрана, тайно продолжая свою работу.

Далее троянец соединяется с удаленным сервером, откуда приобретает последующие указания. В частности, Android.Spy.40.origin в силах реализовать надлежащие действия:

начать талия входящих СМС примерно будто загрузку них содержимого на сервер (от юзера эти сообщения скрываются);
блокировать исходящие звонки;
отправить на сервер снимок контактов или же же снимок поставленных приложений;
удалить или же же учредить определенное приложение, указанное в поступившей команде;
отправить СМС на данный в команде номер с указанным текстом.

Эта вредная программа возможно рисовать нешуточную угрозу для пользователей, т.к. в перехватываемых ею СМС-сообщениях возможно содержаться секретная информация, включающая чисто личную, примерно так будто бизнес переписку, знания о банковских реквизитах, а уж уж уж еще разовые mTAN-коды, предназначенные для обороны совершаемых финансовых операций. помимо того, приобретенный киберпреступниками снимок контактов после возможно бытовать применен для организации массовых СМС-рассылок примерно будто фишинг-атак.

Однако ключевой особенностью Android.Spy.40.origin появляется применение уязвимости ОС Android, которая дозволяет вредной программе избежать детектирования существующими антивирусными решениями. Для этого преступники занесли в apk-файл троянца особые перемены (apk-файл появляется нормальным zip-архивом, имеющим альтернативное расширение).

Согласно спецификации формата zip, шапка архива для всякого из окружающих в нем файлов имеет особое фон General purpose bit flag. поставленный равен нулю бит этого поля показывает на то, словно файлы в архиве зашифрованы (защищены паролем). другими словами, невзирая на фактическое отсутствие пароля, при смысле этого бита равным 1 картотека обязан обрабатываться чисто защищенный.

Как вероятно на изображении выше, в обычных условиях при попытке распаковки того zip-файла выдается соответственное предупреждение о необходимости ввода пароля, впрочем в случае с ОС Android способ обработки похожих архивов имеет ошибку примерно будто данный равен нулю бит игнорируется, словно дозволяет реализовать инсталляцию программы. В различие от операционной системы, имеющей эту уязвимость, разнообразные антивирусные приложения обязаны уважительно агитировать фон General purpose bit flag, полагая файл защищенным при поддержке пароля примерно будто не сканируя его в книжка числе так что в книжка случае, в случае если запись о содержащемся в apk-пакете вредоносном файле имеется в вирусной базе.

Специалисты фирме «Доктор Веб» оперативно занесли в функционал антивируса Dr.Web для Android важные изменения, потому вредные программы, использующие описанный выше метод, благополучно им же детектируются. для тех перестать менее, юзерам Android-устройств неотступно рекомендуется блюсти завышенную осмотрительность примерно будто перестать становить недоверчивые приложения, а уж уж уж еще перестать перебегать по ссылкам, приобретенным в ненужных СМС-сообщениях.

НОВОЕ НА САЙТЕ

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости

11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web

4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

1 апреля 2024 года

Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости

1 апреля 2024 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости

Мой Антивирус