Опасный Android-Троянец «прячется» от антивирусов (Android.Titan.1)

13:46 1.04.2017
Специалисты «Доктор Веб» завершили изучение новой троянской программы, предназначенной для атак на Android-устройства. По инструкции с управляющего узла вредоносная утилита способна отправлять SMS-сообщения, красть персональные данные, инициировать исходящие звонки и выполнять другие опасные действия.

Вирус, получивший название Android.Titan.1, пока атакует только южнокорейских пользователей и распространяется через массовые SMS-рассылки. Злоумышленники идут на хитрость – в тексте сообщения говориться о задержке почтового отправления, а также присутствует ссылка, которая якобы позволит получить более детальную информацию о проблеме. Ссылка ведет на небольшой файл с вирусом, загруженный в облачное хранилище. Активация ссылки приводит к автоматической загрузке вредоносного apk-файла. Однако для инфицирования системы необходимо, чтобы пользователь самостоятельно осуществил инсталляцию загруженной утилиты.

После установки вирус создает на основном экране собственный ярлык и ожидает, когда пользователь запустит троянскую программу. В случае успешного старта зловред удаляет созданный ранее ярлык, после чего вирус продолжает функционировать в фоновом режиме. Одновременно из памяти устройства удаляется последний SMS-диалог (обычно это сообщение со ссылкой на опасный файл). После этого утилита активируется без участия пользователя, стартуя вместе с ОС.

Вредоносная деятельность осуществляется несколькими вредоносными сервисами, которые троянская программа запускает в процессе деятельности. Один из процессов используется для проверки, установлен ли Android.Titan.1 в качестве менеджера SMS-сообщений по умолчанию. В противном случае утилита делает попытки отредактировать соответствующие системные параметры. Далее вредоносная программа ожидает, когда зараженное устройство будет подключено к интернету, соединяется с сервером и незаметно отправляет злоумышленникам информацию о зараженном устройстве.

Периодическое отслеживание активности дисплея позволяет злоумышленникам осуществлять вызов, когда мобильное устройство длительное время неактивно. При этом сразу после вызова экран сразу блокируется, что позволяет скрыть вызов. Вирус также способен проверять входящие SMS и скрывать те, которые подходят по определенным критериям.