Symantec: Троян под Android использует технологию «серверного полиморфизма»

Исследователи компании Symantec обнаружили новый троянский код под Android, использующий технологию «серверного полиморфизма», то есть троянец модифицирует программный код каждый раз, когда он скачивается, что позволяет избежать обнаружения антивирусными программами. В Symantec сообщают, что ранее эта технология уже использовалась вредоносным ПО для ПК, теперь она оптимизирована и для мобильных телефонов.

Модификация кода осуществляется на сервере распространения вируса. Данный механизм отличается от локального полиморфизма тем, что код модифицируется каждый раз при запуске программы.

В Symantec сообщили об обнаружении нескольких вариантов данного троянца. Представители компании присвоили всем вариантам новой вредоносной программы название Android.Opfake. Все они распространяются с серверов, расположенных в России и содержат в себе инструкции для автоматической отправки SMS-сообщений на премиальные короткие номера в нескольких странах СНГ, Европы, а также Австралии и Тайваня.

Как сообщают в Symantec, многие мобильные антивирусы на сегодняшний день полагаются на статистические сигнатуры и обнаружение постоянно модифицируемых кодов представляет сложность для таких решений. Еще сложнее обнаружить код если модифицируется больше чем половина кода троянца. В этом случае код возможно детектировать только поведенческим механизмом.

«Если производитель антивирусного решения берет за основу детектирования немодифицируемую часть троянца, то с обнаружением проблем не должно возникнуть. Однако в сегодняшнем случае у троянца модифицируется и исполняемая часть», - сообщил антивирусный специалист «Лаборатории Касперского» Тим Армстронг (Tim Armstrong) и добавил, что в перспективе на базе полиморфных технологий будет создаваться все больше вредоносных программ.

Подробнее ознакомиться с сообщением Symantec можно здесь.