Опасный Android-троян прячется от антивирусов

Специалисты «Доктор Веб» исследовали нового троянца, предназначенного для Android-устройств. По команде злоумышленников это вредоносное приложение способно красть различные конфиденциальные данные, отправлять SMS, совершать телефонные звонки, а также выполнять другие опасные действия.

Android.Titan.1 предназначен для атаки на южнокорейских пользователей и распространяется с применением рассылки SMS. В SMS говорится о задерживающейся доставке некоего почтового отправления, а также указывается ссылка, переход по которой предполагает получение подробных сведений о возникшей «проблеме», но на самом деле по ней автоматически загружается apk вредоносного приложения. Однако для того, чтобы троян заразил операционную систему, пользователи должны самостоятельно выполнить его установку.

После инсталляции Android.Titan.1 помещает на главный экран свой ярлык и ждет, когда владелец зараженного устройства запустит его. При первом успешном старте этот ярлык удаляется, а вредонос продолжает свою работу в скрытом режиме. Android.Titan.1 способен отслеживать все входящие SMS и скрывать те из них, которые удовлетворяют заданным критериям. При этом на управляющий сервер передаются подробные сведения обо всех принятых SMS, включая информацию об отправителе, дате и времени отправки, а также их содержимом.

Кроме этого, Android.Titan.1 каждую минуту он проверяет, не совершается ли пользователем телефонный звонок, и, если это так, начинает скрытую запись разговора в amr-файл, сохраняя полученный результат в своем рабочем каталоге. В дальнейшем данный файл вместе с информацией о звонках загружается на удаленный сервер. Также троянец может блокировать входящие или исходящие звонки с определенных номеров, отвечать на вызовы и удалять информацию о них из системного журнала.

Особенность троянца заключается в том, что его основной функционал реализован в виде отдельной Unix-библиотеки (детектируется как Android.Titan.2), в то время как у большинства известных вредоносных программ для Android он находится в стандартном исполняемом dex-файле. Подобный прием при создании вредоносных Android-приложений встречается достаточно редко, и благодаря нему многие антивирусные программы зачастую просто не в состоянии обнаружить опасное приложение.