Android.Spy.40.origin или новый Android-троян


Android.Spy.40.origin - Android-троян, предназначенный для кражи конфиденциальной информации у южнокорейских пользователей. Вредоносная программа использует уязвимость операционной системы Android для обхода антивирусных программ.

Пока вредонос был выявлен только в Южной Корее, однако вредоносный функционал трояна указывает на то, что в будущем его возможные модификации вполне могут начать распространяться и в других странах.

Распространяется вредонос среди пользователей Android-устройств при помощи нежелательных СМС-сообщений, содержащих ссылку на apk-файл. После установки и запуска Android.Spy.40.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства, а затем удаляет свой значок с главного экрана, скрытно продолжая свою работу.

APPS Widgets Activate device administrator

Далее троян соединяется с удаленным сервером для получения инструкций с дальнейшими указаниями. Например, Android.Spy.40.origin способен:

  • перехватывать входящие СМС и загружать их содержимое на сервер (от пользователя эти сообщения скрываются);
  • блокировать исходящие звонки;
  • отправлять на сервер список контактов или список установленных приложений;
  • удалять или устанавливать определенное приложение, указанное в поступившей команде;
  • отправлять СМС на заданный в команде номер с указанным текстом.


Из-за возможностей вредоносной программы перехватывать конфиденциальную информацию пользователей, она представляет для них существенную угрозу. А полученный киберпреступниками список контактов впоследствии может быть использован для организации массовых СМС-рассылок и фишинг-атак.

Однако самой главной и существенной особенностью Android.Spy.40.origin стало использование ею уязвимости ОС Android, которая позволяет вредоносной программе избежать детектирования существующими антивирусными решениями. Для этих целей злоумышленники внесли в apk-файл трояна специальные изменения (apk-файл является стандартным zip-архивом, имеющим другое расширение).

Согласно спецификации формата zip, заголовок архива для каждого из находящихся в нем файлов имеет специальное поле General purpose bit flag. Установленный нулевой бит этого поля указывает на то, что файлы в архиве зашифрованы (защищены паролем). Иными словами, несмотря на фактическое отсутствие пароля, при значении этого бита равным 1 архив должен обрабатываться как защищенный.

Android.Spy.40.origin raspakovka arhiva

Изображение выше показывает, что в нормальных условиях при попытке распаковки такого zip-файла выдается соответствующее предупреждение о необходимости ввода пароля, однако в случае с ОС Android алгоритм обработки подобных архивов имеет ошибку и заданный нулевой бит игнорируется, что позволяет выполнить установку программы. В отличие от операционной системы, имеющей данную уязвимость, различные антивирусные приложения должны корректно обрабатывать поле General purpose bit flag, считая файл защищенным при помощи пароля и не сканируя его даже в том случае, если запись о содержащемся в apk-пакете вредоносном файле имеется в вирусной базе.