Ботнет Cutwail распространяет троян для Android

Ботнет Cutwail, распространяющий банковский троян Zeus, в настоящее время пытается рассылать новый троян Stels, инфицирующий системы, работающие на базе Android. Как сообщила команда безопасности компании Dell (SecureWorks Counter Threat Unit, STU), Stels загружается на устройства, маскируясь под обновления для Adobe Flash Player.

Злоумышленники также предусмотрели вариант для систем, работающих на других платформах. Вредоносные спам-ссылки открываются в браузерах на стационарных компьютерах или ноутбуках и направляют пользователя на web-страницу, содержащую набор эксплоитов Blackhole.

Исследователи STU провели анализ образца Stels и выявили характеристики:

Filename: flashplayer.android.update.apk

MD5: b226a66a2796e922302b96ae81540d5c

SHA1: 670503ed863397d64bfe24ca0940be9c23682ae4

Троян распространяется следующим образом: сначала пользователь получает электронное письмо, посланное якобы Налоговым управлением США. Когда он нажимает на ссылку, содержащуюся в письме, вредоносный сценарий определяет, используется ли устройство, работающее на базе Android. Если система использует платформу Android, пользователю предлагается установить обновление для Adobe Flash Player. Для установления необходимо разрешить установления приложений из неизвестных источников. Троян загружается на систему, когда пользователь дает такое разрешение. Далее Stels загружает бэкдоры и другое вредоносное ПО.

Если пользователь работает с другой платформой, в браузерах Internet Explorer, Mozilla Firefox или Opera, он перенаправляется на страницу, содержащую набор эксплоитов. Далее вредоносное ПО использует устаревшие плагины браузера для инфицирования системы.

Stels получает доступ к списку контактов пользователя и может рассылать платные текстовые сообщения, а также совершать телефонные звонки. Тем не менее, троян не проникает в Android слишком глубоко. Так, по словам экспертов, он не получает доступ к ядру ОС. Кроме того, фальшивое обновление для Adobe Flash Player легко идентифицируется среди активных приложений. Также подозрение должно вызвать имя Appname, появляющееся при загрузке приложения.