Компания Heimdal Security обнаружила новое вредоносное ПО для платформы Android. Данный вирус относится к троянам. Он попадает на устройство через SMS или MMS сообщение, когда пользователь переходит по ссылке в сообщении, загружает и соглашается на установку APK файла.
Текст сообщения выглядит примерно так:
“You have received a multimedia message from +[country code] [sender number] Follow the link http: //www .mmsforyou [.] Net / mms.apk to view the message."
После заражения устройства вирус получает на нём права суперпользователя (root). На следующем этапе вирус скачивает и устанавливает TOR браузер для Android, который он использует для подключения к своему серверу. После завершения установки вирус отправляет SMS сообщение на номер +9876543210 (+98 - регион Ирана). Сообщение содержит фразу “Thank you” и данные геолокации жертвы.
С правами суперпользователя вирус получает полный контроль над устройством. В том числе, получает возможность писать и отправлять SMS на короткие номера, перехватывать SMS сообщения банков для двухфакторной аутентификации. Также троянец может полностью стереть все данные на устройстве. Еще одним негативным моментом является то, что в нем реализована поддержка Polipo proxy - прокси сервера. Это возможность атаки вида «человек посередине», то есть перехвата и подмены HTTP трафика и сессий.
А "национализм" данного ПО заключается в том, что специалисты нашли в его коде следующие строки:
locale.getCountry ()
equalsIgnoreCase ( “RU”))
Process.killProcess (Process.myPid ());
Это означает, что вирус останавливает свою работу, если он обнаруживает, что устройство работает на русском языке. Посмотреть полный анализ данного вируса можно в блоге компании Heimdal Security.