Тысячы ўладальнікаў Android-прылад у Беларусі сталі ахвярамі віруса

Спецыялісты кампаніі «Доктар Вэб» выявілі самую буйную ў свеце бот-сетку з інфікаваных мабільных прылад на базе АС Android.

На сёння вядома пра больш чым 200 000 смартфонаў, якія былі заражаныя шкоднаснымі праграмамі сямейства Android.SmsSend і ўваходзяць у яе склад. Асноўная крыніца заражэння ў гэтым выпадку - інтрнэт-рэсурсы, якія належаць зламыснікам або былі ўзламаныя. Найбольшая колькасць інфікаваных прылад належыць расейскім карыстальнікам, на другім месцы па дадзеным паказчыку размяшчаецца Украіна, далей ідуць Казахстан і Беларусь. Паводле папярэдніх ацэнак, шкода, нанесеная карыстальнікам зламыснікамі ў выніку дадзенага інцыдэнту, можа вылічацца многімі сотнямі тысяч даляраў, піша electroname.com.

Для заражэння мабільных прылад і ўключэння іх у склад бот-сеткі зламыснікі выкарысталі некалькі шкоднасных дастасаванняў: сярод іх новы траянец Android.SmsSend.754.origin, а таксама шкоднасныя праграмы Android.SmsSend.412.origin (вядомая з сакавіка 2013 года, распаўсюджваецца пад выглядам мабільнага браўзэра), Android.SmsSend.468.origin (вядомая з красавіка 2013 года) і траянец Android.SmsSend.585.origin, які маскіруецца пад мабільны кліент для сацыяльнай сеткі «Одноклассники» і вядомы антывіруснаму ПА Dr.Web з чэрвеня 2013 года. Найбольш ранняя версія траянца, заўважанага ў ходзе расследавання дадзенага інцыдэнту - Android.SmsSend.233.origin - была дададзеная ў базы Dr.Web яшчэ ў лістападзе 2012 года. У большасці выпадкаў крыніцамі заражэння з'яўляюцца ўзламаныя сайты або сайты, якія належаць зламыснікам і распаўсюджваюць шкоднасныя праграмы.

Траянец Android.SmsSend.754.origin уяўляе сабой apk-дастасаванне з імем Flow_Player.apk. Усталёўваючыся ў аперацыйнай сістэме, ён просіць карыстальніка запусціць дадзеную праграму з прывілеямі адміністратара прылады - гэта дазволіць шкоднаснаму дастасаванню ажыццяўляць кіраванне блакаваннем дысплея. Акрамя таго, Android.SmsSend.754.origin у далейшым хавае свой значок з галоўнага экрана мабільнай прылады.

Пасля завяршэння працэдуры ўсталёўкі траянец адпраўляе зламыснікам інфармацыю аб інфікаванай прыладзе, уключаючы ўнікальны ідэнтыфікатар IMEI, звесткі пра баланс, код краіны, нумар тэлефона ахвяры, код аператара, мадэль мабільнага тэлефона і версію АС. Затым Android.SmsSend.754.origin чакае паступлення ад зламыснікаў адпаведнай каманды, па якой ён можа адправіць СМС-паведамленне з пэўным тэкстам на зададзены нумар, выканаць СМС-рассылку па спісе кантактаў, адкрыць зададзены URL у браўзэры ці прадэманстраваць на экране мабільнай прылады паведамленне з пэўным загалоўкам і тэкстам.

Па звестках, сабраных спецыялістамі кампаніі «Доктар Вэб», у бот-сетку ўваходзіць больш за 200 000 мабільных прылад, якія працуюць пад кіраваннем Google Android, пры гэтым найбольшая іх частка (128 458) належыць расейскім карыстальнікам, на другім месцы размяшчаецца Украіна з паказчыкам 39 020 выпадкаў заражэння, на трэцім - Казахстан: тут ад дзеянняў зламыснікаў пацярпелі 21 555 карыстальнікаў. Больш падрабязная карціна распаўсюджвання пагроз паказаная на наступнай ілюстрацыі.

Гэта - адзін з найбольш масавых выпадкаў заражэння Android-сумяшчальных мабільных прылад, зафіксаваных у бягучым паўгоддзі. Паводле папярэдніх ацэнак спецыялістаў «Доктар Вэб» шкода, нанесеная карыстальнікам зламыснікамі ў выніку дадзенага інцыдэнту, можа вылічацца многімі сотнямі тысяч даляраў.