Специалисты «Доктор Веб» обнаружили первую вредоносную Android-программу, для распространения которой используется известная с недавнего времени уязвимость Master Key (CVE-2013-4787). Обнаруженный троян, добавленный в вирусную базу под именем Android.Nimefas.1.origin, распространяется в Android-приложениях в виде модифицированного DEX-файла и располагается рядом с оригинальным DEX-файлом программы. Напомним, что уязвимость Master Key заключается в особенностях обработки устанавливаемых приложений одним из компонентов ОС Android: в случае, если APK–пакет содержит в одном подкаталоге два файла с одинаковым именем, операционная система проверяет цифровую подпись первого файла, но устанавливает второй файл, проверка которого не производилась. Таким образом, обходится защитный механизм, препятствующий инсталляции приложения, модифицированного третьими лицами. Запустившись на инфицированном мобильном устройстве, троян, в первую очередь, проверяет, активна ли хотя бы одна из служб, принадлежащих ряду китайских антивирусных приложений. В случае если хотя бы одна из них обнаруживается, Android.Nimefas.1.origin определяет наличие root-доступа путем поиска файлов "/system/xbin/su" или "/system/bin/su". Если такие файлы присутствуют, зловред прекращает работу. Если же ни одно из приведенных условий не выполняется, вредоносная программа продолжает функционировать. В частности, Android.Nimefas.1.origin выполняет отправку IMSI-идентификатора на один номеров, выбираемый случайным образом на основании имеющегося списка. Далее троян производит SMS-рассылку по всем контактам, содержащимся в телефонной книге инфицированного мобильного устройства. Текст для этих сообщений загружается с удаленного сервера. Информация об использованных для рассылки контактах затем передается на этот же сервер. Вредоносная программа способна отправлять и произвольные SMS-сообщения на различные номера. Необходимая для этого информация (текст сообщений и номера телефонов) берется с управляющего узла. Троян способен также скрывать от пользователя входящие сообщения. Соответствующий фильтр по номеру или тексту принимаемых SMS загружается с управляющего центра злоумышленников. В настоящее время удаленный сервер, используемый кибер-преступниками для управления вредоносной программой не функционирует. Основная география распространения трояна охватывает китайских пользователей Android-устройств, т.к. распространяется в большом количестве игр и приложений, доступных для загрузки на одном из китайских веб-сайтов - каталогов мобильных приложений. Его представители уже оповещены о данной проблеме. Тем не менее, не исключено, что в ближайшее время число эксплуатирующих уязвимость Master Key вредоносных программ увеличится, и, соответственно, расширится география распространения угрозы. До тех пор, пока производители мобильных Android-устройств не выпустят соответствующее обновление операционной системы, закрывающее данную уязвимость, многие пользователи могут пострадать от подобных вредоносных приложений.
Источник