Компания «Доктор Веб» изучила первое вредоносное Android-приложение, которое использует для распространения уязвимость Master Key.

Троянская программа, занесенная в антивирусные базы как Android.Nimefas.1.origin, способна собирать и передавать злоумышленникам персональную информацию, отсылать SMS-сообщения на заданные номера, а также выполнять ряд инструкций на мобильном устройстве. В настоящее время вредоносная программа выявлена в большом количестве приложений и игр, загруженный в китайский каталог программного обеспечения для Android. При этом специалисты прогнозируют, что количество вирусов и источников распространения в ближайшем будущем может возрасти.

Вирус распространяется в приложениях в виде отредактированного злоумышленниками файла dex, который находится в одном каталоге с оригинальным файлом и имеет идентичное название.

Уязвимость Master Key возникает в процессе обработки инсталлируемых программ платформой Android: если в apk-пакете содержится в одной папке два файла, который имеют одинаковые имена, система сканирует наличие цифровой подписи у первого файла, а запускается второй файл (он не проверяется). Таким образом преступники смогли обойти защитный механизм, который блокирует установку модифицированных приложений.

После активации в зараженной системе, вирус проверяет наличие активных процессов, принадлежащих популярным антивирусным программам. Если антивирус удается обнаружить, вредоносная программа проверяет наличие root-прав путем поиска определенных файлов. Если файлы обнаружены – троян прекращает свою деятельность. Если ни одно из вышеуказанных условий не выполняется, вредоносная утилита продолжает функционировать.

Прежде всего, инициируется отправка IMSI зараженного устройства на один из номеров (выбирается случайно из заранее сформированного списка). Далее сканируется адресная книга и по найденным контактам производится SMS-рассылка. Текст сообщения загружается с управляющего сервера. Все найденные контакты также отправляются злоумышленникам. Вирус способен отправлять и произвольные сообщения на определенные номера. Все данные (номер и текст) загружаются с управляющего центра.

Специалисты также отметили, что троянская программа способна скрывать входящие сообщения, фильтруя их по номеру или тексту (фильтр также загружается с внешнего ресурса).