Вирус не выдает себя за Orbot, а только использует определенный функционал клиента.
Вирусописатели троянов для Android-устройств в большинстве случаев используют в качестве шаблона особенности Windows-вредоносов. Так, по данным экспертов «Лаборатории Касперского», вредоносное ПО для Android получило возможность распространяться посредством сети Tor.
«Троян использует анонимную сеть Tor, созданную на сети прокси-серверов. Помимо предоставления пользователям анонимности, Tor также может отображать «анонимные» сайты доменной зоны .onion, доступ к которой можно получить только через Tor», - отмечает Роман Унучек (Roman Unuchek).
По словам эксперта ЛК, данный бэкдор является вариантом весьма известного клиента Orbot Tor, код которого был изменен. При этом подчеркивается, что вирус не выдает себя за Orbot, а только использует определенный функционал клиента.
Троян может получать следующие команды от подконтрольного злоумышленникам C&C-сервера:
· начать/прекратить перехватывать входящие SMS;
· начать/прекратить похищать исходящие SMS;
· выполнить USSD-запрос;
· отправить данные телефона на C&C-сервер (номер телефона, страну, IMEI, модель, версию ОС);
· отправить C&C-серверу список установленных на мобильном устройстве приложений;
· отправить SMS на установленный командой номер.
Как утверждает Унучек, одним из преимуществ использования злоумышленниками Tor для распространения вредоноса является то, что C&C-сервер практически невозможно обезвредить. С другой стороны, создание подобного вируса потребует дополнительных изменений кода оригинального варианта.
Новый вариант Android-вируса в Tor подстраивается под клиент Orbot
Вирус не выдает себя за Orbot, а только использует определенный функционал клиента.Вирус не выдает себя за Orbot, а только использует определенный функционал клиента. Вирусописатели трояноТакже по теме: