Троян Stels угрожает пользователям Android


Stels - троян, инфицирующий мобильные платформы на базе ОС Android, маскируясь под обновления для Adobe Flash Player. Данный вредоносный код распространяется при помощи ботнета Cutwail, который ранее распространял банковского трояна Zeus.

Flashplayer UPD

Помимо заражения Android-устройств, данный вредонос способен заражать и другие системы, работающие на других платформах. Вредоносные спам-ссылки открываются в браузерах на стационарных компьютерах или ноутбуках и направляют пользователя на web-страницу, содержащую набор эксплоитов Blackhole.

Исследователи STU компании Dell провели анализ образца Stels и выявили следующее:

  • Filename: flashplayer.android.update.apk
  • MD5: b226a66a2796e922302b96ae81540d5c
  • SHA1: 670503ed863397d64bfe24ca0940be9c23682ae4


Распространение трояна начинается с рассылки пользователям электронных писем, посланные якобы Налоговым управлением США. При нажатии пользователем на содержащуюся в письме ссылку, вредоносный сценарий определяет устройство, работающее на базе Android. Если система использует платформу Android, пользователю предлагается установить обновление для Adobe Flash Player, для чего необходимо разрешить установку приложений из неизвестных источников. При согласии пользователя на выполнение такого действия, на компьютер жертвы начинает загружаться троян. После чего уже загруженный троян Stels начинает загружать на мобильное устройство бэкдоры и другое вредоносное ПО.

IRS exploit

При использовании пользователем устройства с другой платформой, Stels открывает в браузерах Internet Explorer, Mozilla Firefox или Opera и перенаправляет пользователя на страницу, содержащую набор эксплоитов. После перенаправления вредоносное ПО использует устаревшие плагины браузера для инфицирования системы.

Завладев устройством, Stels получает доступ к списку контактов пользователя и начинает рассылать сообщения на премиум номера, а также совершать телефонные звонки.

Сам троян не проникает в Android слишком глубоко, т.е. он не получает доступ к ядру ОС. Кроме того, фальшивое обновление для Adobe Flash Player легко идентифицируется среди активных приложений. Также подозрение должно вызвать имя Appname, появляющееся при загрузке приложения.