Новое вредоносное приложение, эксплуатирующее уязвимость в платформе Android, обнаружено специалистами «Доктор Веб».
Троянская программа, детектируемая как Android.Nimefas.1.origin, способна скрытно отправлять сообщения, собирать конфиденциальную информацию о мобильном устройстве и выполнять инструкции, полученные с командного центра. Заражение устройства происходит при инсталляции приложений, при этом используется уязвимость Master Key.
Суть данной уязвимости, обнаруженной недавно экспертами компании Bluebox Security, заключается в способе обработки устанавливаемых приложений. Если подкаталог apk-пакета будет содержать два файла с идентичным названием, цифровая подпись будет проверяться только у первого файла, второй будет запущен без проверки. Этим и воспользовались злоумышленники – второй файл содержит троянскую программу Android.Nimefas.1.origin.
После запуска в зараженной системе, троян проверяет наличие процессов антивирусного программного обеспечения и наличие root-привилегий. Если поиск не дает результатов, вирус продолжает свою активность и отправляет злоумышленникам IMSI устройства. Далее троянская утилита формирует массовую рассылку по контактам из адресной книги, загружая текст сообщения с внешнего ресурса, на который в дальнейшем отправляются и найденные контакты пользователя. Android.Nimefas.1.origin также способен скрывать входящие сообщения, фильтруя их по содержанию или отправителю.
В данный момент специалисты смогли обнаружить только один источник распространения – китайский онлайн-каталог программ для ОС Android. Представители ресурса уже оповещены о том, что многие приложения в каталоге инфицированы, а управляющий сервер, используемый для управления, уже заблокирован.
Однако легкость реализации новой схемы распространения позволяет предположить, что в ближайшее время появятся другие источники распространения вредоносных файлов, использующих уязвимость Master Key.
