Новое троянское приложение, занесенное в базу компании «Доктор Веб» как Android.Spy.40.origin, атакует южнокорейских пользователей. Для распространения злоумышленники используют массовую SMS-рассылку, в которой содержится ссылка на вредоносный apk-файл. После инсталляции вирус запрашивает у пользователя администраторский доступ к мобильному устройству, после чего удаляет свою иконку с рабочего стола, продолжая работать в фоновом режиме.
Далее троянская программа устанавливает соединение с внешним сервером и ожидает получения дальнейших инструкций. Android.Spy.40.origin способен выполнять следующие действия:
- перехват входящих сообщений и отправку их на сервер злоумышленников;
- удаление или инсталляция определенной программы, которая указывается непосредственно в команде;
- отправка SMS-сообщения с указанным текстом на заданный номер.
Главная особенность вредоносной программы заключается в использовании недавно обнаруженной серьезной уязвимости в платформе Android. Это позволяет вирусу скрываться от антивирусного ПО. Для этого злоумышленникам достаточно внести в apk-файл ряд изменений (файл apk представляет собой обычный zip-архив с другим расширением).
По спецификации расширения zip все файлы, упакованные в архив, имеют специальный параметр General purpose bit flag. Занесение в данное поле нулевого бита означает, что файлы внутри архива зашифрованы (имеют пароль). Другими словами, даже при отсутствии пароля архив будет обрабатываться как защищенный.
В случае с платформой Android алгоритм обработки таких архивов имеет ошибку – нулевой бит просто игнорируется, что приводит к инсталляции программы. При этом антивирусные приложения корректно обрабатывают параметр General purpose bit flag, считая, что архив защищен паролем. Это приводит к тому, что файл не сканируется на наличие вредоносного кода.