Новый опасный вирус для Android устройств
Данный эксплоит является самым сложным Android вирусом из обнаруженных на сегодняшний день.
Недавно обнаруженная троянская программа использует ранее неизвестные недостатки в Android и заимствует методы от вредоносных программ Windows, с целью избежания обнаружения и дальнейшей жизни в инфицированных устройствах.
Исследователи из «Лаборатории Касперского» именовали новое вредоносное приложение «Backdoor.AndroidOS.Obad.a» и назвал его самой сложной Android троянской программой на сегодняшний день.
Вредоносная программа предназначена для отправки SMS сообщения на платные номера, а также позволяет злоумышленникам выполнить разные команды на зараженных устройствах через удаленный доступ. Злоумышленники могут использовать этот экплоит для кражи любых данных, хранящихся на зараженных Android устройствах или для загрузки дополнительных вредоносных приложений, которые можно установить локально или распространить другим устройствам через Bluetooth/WiFi
В программе Trojan Obad.a интенсивно используется шифрование кода, чтобы затруднить анализ алгоритма. Создатели такого рода вирусов обычно пытаются сделать коды в своих творениях как можно более сложными, чтобы максимально утруднить жизнь экспертам защиты от вредоносных программ, однако, столь продвинутые алгоритмы инкриптования, как с Odad.a встречаются очень редко.
В дополнение к использованию шифрования, вредоносная программа также использует ранее неизвестные дырки в программном обеспечении Android и совместимых программах.
Например, вредоносное приложение использует ошибку в куске кода DEX2JAR, который используется для преобразования пакетов Android приложений в архивные файлы Java.
Эта уязвимость нарушает конвертацию байт-кода Dalvik в байт-код Java, который в итоге усложняет статистический анализ трояна.
Данная вредоносная программа также использует способ обработки файлов AndroidManifest.xml операционной системой Android. Эти файлы можно найти в каждом приложении, они содержат информацию о структуре приложения и параметрах запуска.
Троянская программа содержит специально созданных AndroidManifest.xml, которые не соответствуют спецификации Google, но по-прежнему корректно обрабатывается Android OS. Это значительно затрудняет динамический анализ вредоносных программ.
При первом выполнении Obad.a запрашивает у пользователей устройств привилегий администратора. Приложения, которые получат эту привилегию не могут быть удалены через обычное меню приложения, пока они не будут удалены из списка администраторов в меню настроек безопасности.
Новый Android вирус распространяется через SMS, но все-таки не есть очень распространенным в настоящее время. Согласно статистике Лаборатории Касперского, доля попыток установки Obad.a составила всего 0,15 % от общего количества вирусных атак на мобильных устройствах.