Троян DroidKungFu для Android маскируется под обновления
По информации от исследователей, работающих в компании F-Secure, новая версия трояна DroidKungFu, созданная для заражения операционной системы Android, маскируется под легальные обновления приложений.
🕛 28.10.2011, 05:05
DroidKungFu распространяется с помощью легального приложения, доступного в китайских электронных магазинах приложений. Однако, судя по тому, что более ранние версии этого трояна в прошлом обнаруживались и в официальном магазине Android Market, угроза является глобальной."После установки приложение оповестит пользователя о том, что для него есть обновление; [...] это обновление будет обладать специфическими функциями, аналогичными тем, что обнаруживаются во вредоносном ПО, содержащем DroidKungFu", - предупреждают исследователи из F-Secure.
Вредоносное обновление запрашивает только доступ к сообщениям SMS/MMS и местоположению, при этом оно содержит root-эксплойт для Android 2.2 (Froyo), который разблокирует системные файлы и функции. Несмотря на то, что данная версия DroidKungFu не нацелена на устройства, находящиеся под управлением Android 2.3 (Gingerbread), существуют другие трояны, инфицирующие эту версию операционной системы. В будущем распространители этих троянов тоже могут начать использовать технику с обновлениями.
Между тем, есть основания полагать, что авторы вредоносного ПО тестируют и другие техники заражения. На прошлой неделе исследователи из компании Lookout обнаружили другую версию DroidKungFu, которая не использует root-эксплойт вообще. Вместо этого, троян, названный исследователями LeNa, задействует техники социальной инженерии, чтобы пользователи сами наделили установщик правами супер-пользователя. Такое возможно проделать на устройствах, пользователи которых уже самостоятельно запускали root-эксплойт.
"Это первый случай, когда троян для Android полностью полагается на родной бинарный формат ELF, в отличие от типичных приложений для Android, исполняемых в виртуальной машине [Dalvik]", - поясняют исследователи. Некоторые приложения, распространяющие этот вредоносный код, были обнаружены в официальном магазине Android Market.