ЛК: Троян для Android распространяется по типу атаки Red October

image

Теги: вирус, троян, бэкдор, новость

В ходе атаки против Тибетских активистов, хакеры рассылают жертвам ZIP-архивы с инфицированными DOC, XLS и PDF-документами.

Лаборатория Касперского обнаружила несколько атак на мобильную платформу Android, направленных против Тибетских и уйгурских активистов, защищающих права национальных меньшинств в регионе, в ходе которых киберпреступники использовали те же приемы, что и в обезвреженной ранее операции «Red October», о подробностях проведения которой SecurityLab сообщал ранее.

По данным экспертов, хакеры инфицировали мобильные устройства жертв при помощи вредоносной спам-рассылки, которой подменили уведомления о проведении конференции по защите прав человека в Женеве.

В ходе атаки, злоумышленники рассылали жертвам сообщения электронной почты с названием «WUC's Conference.apk», в котором находился вредоносный файл, размером 334326 байт. После установки бэкдора, на экране смартфона появлялась иконка приложения с названием «Conference».

Если жертва попытается запустить приложение, вирус запускает страницу с описанием предстоящего события. Причем, в описании допущена ошибка – слово «World» заменено на «Word».

Пока жертва читает поддельное уведомление, вредоносная программа сообщает об успешном инфицировании устройства командному серверу. После этого, вирус начинает собирать данные, хранящиеся на смартфоне, включая контакты, причем сохраненные и в памяти телефона, и на SIM-карте, информацию о совершенных звонках, SMS-сообщения, геолокационные данные, а также информацию о телефоне – номер, версию операционной системы, модель смартфона и версию SDK.

Исследователи отмечают, что похищенные данные не отправляются на C&C-сервер автоматически. Троян ждет команду в SMS-сообщении, и, в зависимости от того, какая команда приходит, такую информацию передает серверу в зашифрованном виде. Эксперты установили, что хакеры используют библиотеку Java Base64, разработанную Sauron Software и являющуюся свободным ПО, распространяющимся по LGPL-лицензии.

В ходе расследования атаки сотрудники ЛК установили, что C&C-сервер, на который передаются скомпрометированные данные, находится в Лос-Анджелесе, США.

Подробнее с результатами исследования можно ознакомиться здесь.


или введите имя

CAPTCHA
xe
28-03-2013 14:18:40
а вот это точно китайские спецслужбы, только у них есть мотив в данном случае
0 |
WWWWW
28-03-2013 15:21:16
а вот это точно китайские спецслужбы...Лаборатория Касперского обнаружила...
0 |
Дмитрий
29-03-2013 09:42:15
В ходе атаки, злоумышленники рассылали жертвам сообщения электронной почты с названием «WUC's Conference.apk», в котором находился вредоносный файл, размером 334326 байт. После установки бэкдора, на экране смартфона появлялась иконка приложения с названием «Conference». Тут пропущен пункт о том что жертва соглашается на доступ приложения ко всему что есть в телефоне.
0 |
soarin
29-03-2013 12:27:41
Как я понял вывод этой статьи: "Покупайте антивирус Трольсперского". Реально смешно смотреть. Приходит письмо с текстом типа "Послание в приложении" и приложение WUCsConference.apk. Надо: 1) запустить установщик 2) если не установлена галка "ставить приложения из не оф источников", то в настройках её поставить. 3) согласиться с пугающим списком прав. 4) запустить приложение - и это чтоб прочесть текстовое послание, на кого это рассчитано?
0 |
---
29-03-2013 12:51:34
Это рассчитано на людей покупающих антивирус кошмарского для смартфонов.
0 |
WWWWW
29-03-2013 19:14:54
Лаборатория Касперского обнаружила несколько атак на... Тибетских и уйгурских активистов...C&C-сервер... в Лос-Анджелесе, США.скоро, совсем скоро амбулатория каспера обнаружит атаку на пассивистов аквалангистов Марианского жёлоба и передаст рапорт в ФБР и спасёт мир... весна же на дворе...
0 |