Троян Android.Arspam.1 распространяет политический спам


Android.Arspam.1 - троян, предназначенный для несанкционированной массовой рассылки СМС-сообщений с мобильных телефонов, работающих под управлением операционной системы Google Android.

Android.Arspam.1 встроен в легитимное приложение AlSalah, предназначенное для мусульман и реализующее функции компаса, который с помощью GPS-координат абонента определяет направление на Мекку и расстояние до нее. Также приложение демонстрирует текущую дату по мусульманскому календарю и способно высчитывать время пяти ежедневных молитв. Предлагаемая на официальном сайте Android Market версия данной программы не несет какого-либо деструктивного функционала, в то время как аналогичное приложение, распространяемое на арабоязычных форумах, как правило, содержит в себе трояна. Иными словами, злоумышленники воспользовались программой AlSalah в своих интересах, добавив в нее вредоносную нагрузку.

Arspam1.1 Arspam2.1

Стартовав на инфицированном устройстве, Android.Arspam.1 создает и регистрирует новую службу

  • com.awake.alArabiyyah

которая запускается вместе с операционной системой. Затем троян собирает перечень контактов, сохраненных в адресной книге мобильного устройства, и рассылает каждому из них одну из ссылок на интернет-форумы, посвященные политическим событиям на Ближнем Востоке, в частности, революции в Тунисе. Открываемые по ссылке сообщения содержат фотографии тунисца Мохаммеда Буазизи (Mohamed Bouazizi), совершившего акт самосожжения 17 декабря 2010 года, положив тем самым начало беспорядкам в целом ряде арабских государств. Список рассылаемых адресов хранится непосредственно в теле трояна. Кроме того, если работающая в устройстве сим-карта зарегистрирована в Бахрейне, то троян скачивает с удаленного сервера PDF-документ, содержащий разработанный Независимой комиссией Бахрейна (Bahrain Independent Commission) отчет о нарушении прав человека в этой стране.

Android.Arspam.1 — это первый известный на сегодняшний день троян для мобильных устройств, распространяющий политические СМС-сообщения. Несмотря на то что реализован он достаточно примитивно, нельзя не отметить весьма грамотный подход в выборе тематики приложения с учетом потенциальной аудитории генерируемых трояном сообщений. Поскольку Android.Arspam.1 уже сейчас содержит функционал, позволяющий загружать файлы с удаленных узлов, в дальнейшем можно ожидать появления новых, более совершенных его модификаций, способных, например, получать от управляющих центров конфигурационные файлы или списки ссылок для последующей отправки получателям. Теоретически также возможно объединение работающих под управлением ОС Android спам-ботов в ботнеты.