Картина попыток заражения мобильными вредоносами остается неизменной, среди последних тендеций - увеличение числа заражений Android-трояном Trojan-SMS.AndroidOS.Stealer.a. Он стал лидером по количеству попыток заражения российских пользователей и теперь стабильно занимает первые места в списках актуальных угроз. Так, в первом квартале 2014 года на него пришлось чуть менее четверти всех зафиксированных атак. Большая часть угроз приходится на страны бывшего СССР, но затрагивает и ряд исконно Европейских стран. После активации троян Trojan-SMS.AndroidOS.Stealer.a определяет, в каком регионе он запущен, и в зависимости от этого изменяет содержимое SMS и адресата. Особенным Trojan-SMS.AndroidOS.Stealer.a не назовешь, он распространяется под видом легитимного приложения и использует стандартный для SMS-троянов набор функций. Управление трояном осуществляется через HTTP-протокол, при этом используются два разных центра управления – один ставит задачи, другой получает результаты. Для шифрования данных Stealer использует модифицированный BASE64 и GZip. Внутри себя зловред хранит шифрованный конфигурационный файл, который представляет собой JS-скрипт. В зависимости от содержания файла, троян сразу после загрузки и запуска может выполнить практически любые действия на зараженной мобильной системе. Таким образом, вирусописатели могут менять поведение трояна, меняя лишь содержание конфигурационного файла. Экспертов "Лаборатории Касперского" удивляет, что создатели трояна всё ещё используют схему, когда конфигурация Trojan-SMS.AndroidOS.Stealer.a распространяется вместе с ним, в то время как большая часть подобных зловредов переведена исключительно на онлайн-управление, что облегчает нейтрализацию этих угроз. Также, используемый сейчас подход позволяет гарантировать работу Stealer в случае отсутствия доступа к Интернет. Однако, "Лаборатория Касперского" настоятельно рекомендует вирусописателям свести к минимуму конфигурационный файл и управлять этим трояном исключительно онлайн, оставив без изменений его функционал.
Источник