Троян в Android Market эксплуатирует уязвимость Master Key

С того момента, как информация об уязвимости Master Key стала достоянием общественности, большинство специалистов по информационной безопасности были уверены, что рано или поздно злоумышленники непременно воспользуются найденной в ОС Android лазейкой, ведь с технической точки зрения использование этой программной ошибки не составляет никакой сложности. И действительно, менее чем через месяц после раскрытия деталей данной уязвимости уже появилась эксплуатирующая ее вредоносная программа.

Обнаруженный троянец, добавленный в вирусную базу Dr.Web под именем Android.Nimefas.1.origin, распространяется в Android-приложениях в виде модифицированного киберпреступниками dex-файла и располагается рядом с оригинальным dex-файлом программы. Напомним, что уязвимость Master Key заключается в особенностях обработки устанавливаемых приложений одним из компонентов ОС Android: в случае, если apk–пакет содержит в одном подкаталоге два файла с одинаковым именем, операционная система проверяет цифровую подпись первого файла, но устанавливает второй файл, проверка которого не производилась. Таким образом, обходится защитный механизм, препятствующий инсталляции приложения, модифицированного третьими лицами.

На изображении ниже продемонстрирован пример одной из инфицированных Android.Nimefas.1.origin программ:

Запустившись на инфицированном мобильном устройстве, троянец, в первую очередь, проверяет, активна ли хотя бы одна из служб, принадлежащих ряду китайских антивирусных приложений.

В случае если хотя бы одна из них обнаруживается, Android.Nimefas.1.origin определяет наличие root-доступа путем поиска файлов "/system/xbin/su" или "/system/bin/su". Если такие файлы присутствуют, троянец прекращает работу. Если же ни одно из приведенных условий не выполняется, вредоносная программа продолжает функционировать.

В частности, Android.Nimefas.1.origin выполняет отправку идентификатора IMSI на один номеров, выбираемый случайным образом на основании имеющегося списка.

Далее троянец производит СМС-рассылку по всем контактам, содержащимся в телефонной книге инфицированного мобильного устройства. Текст для этих сообщений загружается с удаленного сервера. Информация об использованных для рассылки контактах затем передается на этот же сервер. Вредоносная программа способна отправлять и произвольные СМС-сообщения на различные номера. Необходимая для этого информация (текст сообщений и номера телефонов) берется с управляющего узла.

Троянец способен также скрывать от пользователя входящие сообщения. Соответствующий фильтр по номеру или тексту принимаемых СМС загружается с управляющего центра злоумышленников.

В настоящее время удаленный сервер, используемый киберпреступниками для управления вредоносной программой, уже не функционирует.