Под видом MS Word скрывался Android-троян


ZscalerИсследователи из компании Zscaler выявили новую вредоносную программу, направленную на заражение Android-устройств. Троян распространяется под видом документа Microsoft Word и уже успел заразить более трехсот устройств, преимущественно на территории Китая.

Вредоносное ПО маскируется под файл данных с иконкой, схожей с ярлыком Microsoft Word. После своего запуска на инфицированном устройстве троян работает с повышенными привилегиями. В связи с этим его деинсталляция довольно затруднительна. В задачи вредоноса входит сканирование системы на наличие идентификационной информации, такой как:

  • номер IMEI;
  • номер SIM-карты;
  • ID устройства;
  • SMS-сообщения;
  • контактных данных жертвы и пр.


Все собранные сведения передаются посредством электронной почты или в виде текстовых сообщений на C&C-сервер злоумышленников.

После запуска приложения жертвой, на экран выводится сообщение об ошибке с предупреждением, что данное ПО не совместимо с телефоном. После чего иконка с дисплея исчезает. Однако, пока на экране устройства демонстрируется сообщение, вредоносная программа осуществляет ряд действий, в том числе:

  • отправляет SMS-сообщения на жестко закодированный номер;
  • запускает службу MyService, а также два потока (SMSTask и MailTask), которые работают в фоновом режиме;
  • звонит на номера, обозначенные атакующими.


Было установлено, что авторы вредоносного ПО наделили свое детище функцией, позволяющей ему посылать номера телефонов в виде SMS. Вредонос перехватывает такие сообщения, а затем звонит на указанный номер. Соответственно, речь идет о премиум-сервисе, отчего оператор трояна получает вознаграждение за звонки. Кроме того, поскольку SMS могут содержать не только частную переписку жертвы, но и банковские коды и коды подтверждения для других online-сервисов, то это уже прямая угроза конфиденциальности.

С момента обнаружения кампании (10 октября этого 2015 года) специалисты Zscaler сумели получить доступ к панели управления, содержащей списки похищенных данных. По ним и удалось установить, что за неполный месяц от данного вредоноса пострадало более 300 пользователей.


Обновлено (04.11.2015 10:21)