USD 66.24 ЕВРО 75.71

Вредоносная Android-программа рутирует и захватывает устройство, если вы не русский

Экономика

Обнаружен новый штамм вредоносных программ для мобильных устройств, который способен рутировать устройства, угонять сессии и полностью уничтожать данные.

Исследователи обнаружили в дикой природе вредоносную Android-программу, которая способна давать себе права администратора, и контролировать все аспекты функциональности смартфона.

Согласно информации специалиста по безопасности Андра Захария из Heimdal Security, вредоносная программа, получившая название Mazar Android BOT, распространяется через SMS и MMS сообщения. Содержащее вредоносную ссылку сообщение гласит:

«Вы получили мультимедийное сообщение из + [код страны] [номер отправителя] Перейдите по ссылке http: //www.mmsforyou [.] Net / mms.apk, чтобы просмотреть сообщение».

Это сообщение содержит ссылку на Android application package (APK). Пользователю предлагается загрузить пакет с названием «MMS Messaging», чтобы вызвать доверие у потенциальной жертвы.

После установки, вредоносный код скрывается и наделяет себя правами администратора Android-устройства, давая атакующим возможность отправлять сообщения без согласия пользователя, угонять сессии браузера, рутировать устройство, отслеживать звонки и текстовые сообщения, а также извлекать данные с устройства.

Самое важное, что Mazar может полностью стереть информацию с зараженного устройства, а также считывать коды аутентификации, отправляемые на устройство системами двухфакторной аутентификации, используемыми онлайн-банкингом и социальными медиа.

Распространение вредоносных программ и их географические цели в настоящее время неизвестны. Mazar APK впервые был замечен в ноябре 2015 года. Вредоносная программа могла загружать и запускать TOR на зараженных устройствах перед подключением к скрытым Onion-серверам и командно-контрольным центрам.

Однако, возможности вредоносной программы совершенствуются. Киберпреступники, стоящие за Mazar, также внедрили «Polipo HTTP proxy», чтобы получить доступ к дополнительным функциям Android устройства.

Согласно GitHub, прокси-сервер HTTP не только обеспечивает полезные функции, такие как ускорение просмотра с мобильных устройств, но также способен кэшировать веб-страниц для автономного доступа. Иными словами, злоумышленник с помощью Mazar может получить историю просмотра жертвы и запустить атаку посредника (Man-in-the-Middle), чтобы контролировать трафик и угонять сессии браузера.

Добавьте к этому тот факт, что Mazar может инжектировать себя в мобильный браузер Chrome, и сессии жертвы будут уязвимы для эксплуатации.

Интересный момент состоит в том, что вредоносная программа не загружается и не запускается на устройствах с русским языком. Mazar перестает работать, если обнаруживает смартфон, принадлежащий русскому пользователю.

Чтобы защитить себя от таких угроз, нельзя переходить по ссылкам в SMS или MMS сообщениях.