Эксперты сообщили о возвращении червя Selfmite, используемого в начале 2000-х годов

image

Теги: распространение вредоносного ПО, похищение персональных данных

Новая версия вируса не только загружает сторонние приложения, но также похищает и отправляет своим операторам конфиденциальные данные жертв.

ИБ-эксперт из Sophos Security Пол Даклин (Paul Ducklin)  сообщил  об обнаружении червя для Android, маскирующегося под легитимное приложение Google Plus. Примечательно, что этот вредонос схожий с самораспространяющимся вирусом Selfmite, который использовался злоумышленниками в начале 2000-х годов.

Даклин сообщил, что оригинальный червь Selfmite рассылал SMS-сообщения с ссылкой на себя двадцати наиболее часто используемым контактам из телефонной книги жертвы и устанавливал стороннее Android-приложение.

Современная версия червя SlfMite-B имеет ту же структуру кодирования и использует те же методы, что и Selfmite, однако теперь он стал «более пробивным и гибким». В отличие от ранней версии, обнаруженный червь действует не по заранее запрограммированной схеме, а посылает запросы и ждет дальнейших инструкций, как это делают ботнеты.

«Загруженные данные извлекаются через HTTP и содержат такие настройки, как количество SMS-сообщений, которые нужно отправить, используемый в сообщениях текст, на что указывать ссылки и т. д.», - сообщил Даклин.

SlfMite-B также отличается от оригинальной версии тем, что рассылает себя не двадцати контактам жертвы, а всего пяти. Вероятно, это сделано для того, чтобы не привлекать внимание к вредоносу. Кроме того, если в начале 2000-х годов вирусы рассылались по почте просто для создания хаоса, то SlfMite-B используется злоумышленниками с целью заработать денег.

После загрузки червя на экране появляются две иконки, и каждый клик на них приносит злоумышленникам доход. В ходе исследования на экране появился ярлык Mobo Market, после нажатия на который на устройство загрузилось приложение MoboMarket.apk, подписанное китайским магазином Android-приложений Mobo Market.

Помимо загрузки сторонних приложений и подписки на платные SMS-сервисы, вирус способен похищать и отправлять своим операторам конфиденциальные данные жертв (ID и IMEI устройства, список контактов).  

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus