Android.Nimefas.1.origin - новый троян для Android


Android.Nimefas.1.origin - вредоносная программа для Android-устройств, использующая для своего распространения известную с недавнего времени уязвимость Master Key.

Android.Nimefas.1.origin способен:

  • отправлять СМС-сообщения;
  • передавать злоумышленникам конфиденциальную информацию пользователей;
  • выполнять ряд команд на инфицированном мобильном устройстве.>


Данный вредонос распространяется в большом количестве игр и приложений, доступных для загрузки в одном из китайских онлайн-каталогов приложений для Android. Однако не исключено, что в ближайшее время расширится география распространения угрозы, ведь использование программной ошибки Master Key не составляет никакой сложности.

Распространяется Android.Nimefas.1.origin в Android-приложениях в виде модифицированного dex-файла, который располагается рядом с оригинальным файлом программы.

Уязвимость Master Key заключается в особенностях обработки устанавливаемых приложений одним из компонентов ОС Android. В случае если apk–пакет содержит в одном подкаталоге два файла с одинаковым именем, операционная система проверяет цифровую подпись первого файла, но устанавливает второй файл, проверка которого не производилась. Таким образом, защитный механизм не срабатывает, что приводит к беспрепятственной инсталляции приложения, модифицированного третьими лицами.

Пример одной из инфицированных Android.Nimefas.1.origin программ

Master Key

Сразу после запуска на инфицированном мобильном устройстве, троян проверяет, активна ли хотя бы одна из служб, принадлежащих ряду китайских антивирусных приложений.

При обнаружении хотя бы одной из них, зловред определяет наличие root-доступа путем поиска файлов

  • "/system/xbin/su"

или

  • "/system/bin/su"


При наличии таких файлов троян прекращает работу, а при их отсутствии - вредоносная программа продолжает функционировать, а именно, отправляет идентификатор IMSI на один номеров, выбираемый случайным образом на основании имеющегося списка.

Далее троян производит СМС-рассылку по всем контактам, содержащимся в телефонной книге инфицированного мобильного устройства. При этом текст для самих сообщений загружается с удаленного сервера. Информация об использованных для рассылки контактах затем передается на этот же сервер. Также вредоносная программа способна отправлять и произвольные СМС-сообщения на различные номера, а необходимая для этого информация (текст сообщений и номера телефонов) берется с управляющего узла.

Еще троян способен скрывать от пользователя входящие сообщения. Соответствующий фильтр по номеру или тексту принимаемых СМС загружается с управляющего центра злоумышленников.

В настоящее время удаленный сервер, используемый киберпреступниками для управления вредоносной программой, уже не функционирует.

Master Key 1

Пока что троян Android.Nimefas.1.origin наибольшую опасность представляет только для китайских пользователей, т.к. распространяется в большом количестве игр и приложений, доступных для загрузки на одном из китайских веб-сайтов - сборников ПО. Однако не исключено, что в ближайшее время расширится география распространения угрозы. А до тех пор, пока производители мобильных Android-устройств не выпустят соответствующее обновление операционной системы, закрывающее данную уязвимость, многие пользователи могут пострадать от подобных вредоносных приложений.