Wysyłanie masowych wiadomości SMS zawierających niebezpieczne linki ze szkodliwym malware jest obecnie jednym z najpopularniejszych sposobów na rozpowszechnianie zagrożeń związanych z systemem Android. Takie metody rozsyłania szkodliwych programów są wykorzystywane przez cyberprzestępców do dystrybucji tzw. robaków SMS. Na początku listopada analitycy bezpieczeństwa firmy Doctor Web odkryli kolejny tego rodzaju program. Po uruchomieniu niebezpieczny bot może wysyłać krótkie wiadomości, usuwać zainstalowane aplikacje i pliki, wykradać poufne informacje, atakować oraz wykonywać inne szkodliwe działania na zainfekowanym urządzeniu.
Zarejestrowany w bazie wirusów programu Dr.Web, Android.Wormle.1.origin wyposażony jest w różne funkcje. Po zainstalowaniu bot tworzy na ekranie głównym skrót i działa jako usługa systemowa com.driver.system.
Android.Wormle.1.origin łączy się z serwerem dowodzenia i kontroli (C&C) i czeka na dalsze wskazówki od hakerów. Warto zauważyć, że cyberprzestępcy mogą kontrolować bota bezpośrednio przez ich serwer C&C, jak również za pośrednictwem Google Cloud Messaging-usługi, która pozwala programistom komunikować się ze swoimi aplikacjami na docelowych urządzeniach poprzez aktywne konto Google.
Program ten ma bardzo rozbudowany zestaw funkcji. W szczególności, może wykonać następujące zadania:
- Wysyłać wiadomości SMS z określonym tekstem do jednego lub kilku numerów wyszczególnionych w poleceniu;
- Wysyłać wiadomości SMS z określonym tekstem do wszystkich numerów w książce adresowej;
- Dodać określony numer telefonu do czarnej listy po to, aby blokować przychodzące wiadomości SMS i połączenia z tego numeru;
- Wysyłać zapytanie o kod USSD – (numer USSD jest na czarnej liście po to, aby upewnić się, że użytkownik nie będzie otrzymywał wiadomości zwrotnych);
- Przekazywać informacje o wszystkich otrzymywanych wiadomościach SMS i połączeniach wychodzących do serwera C&C;
- Uruchamiać dyktafon lub zatrzymywać nagrywanie w jego trakcie;
- Pozyskać informacje o kontach powiązanych z zainfekowanym urządzeniem;
- Pozyskać informacje o wszystkich zainstalowanych aplikacjach;
- Zdobyć informacje o kontaktach;
- Gromadzić informacje o operatorze komórkowym;
- Określić wersję systemu operacyjnego;
- Ustalić kraj, w którym zarejestrowana została karta SIM;
- Określić numer abonenta;
- Usunąć określone aplikacje (aby tego dokonać bot wyświetla specjalne okno dialogowe, które zmusza użytkownika do usunięcia programu);
- Zbierać informacje o plikach i katalogach znajdujących się na karcie SD;
- Ładować archiwum zip zawierające określony w instrukcji plik lub folder do serwera C&C;
- Usuwać dany plik lub katalog;
- Usuwać wszystkie wiadomości SMS zapisywane na urządzeniu;
- Przeprowadzić atak DDoS na określonej stronie internetowej;
- Nawiązać połączenie z serwerem C&C zgodnie ze specjalnymi parametrami;
- Zmienić adres serwera sterującego;
- Wyczyścić czarną listę.
Cyberprzestępcy mogą zatem za pomocą programu Android.Wormle.1.origin wykonywać różnego rodzaju zadania począwszy od wysyłania płatnych wiadomości SMS i kradzieży poufnych danych do przeprowadzania ataków DDoS na różnych stronach internetowych. Ponadto, wirus może pozyskiwać informacje o koncie bankowym, co rozszerza zakres szkodliwego działania programu na jeszcze większą skalę.
Android.Wormle.1.origin działa jak robak SMS i rozprzestrzenia się na urządzeniach z systemem Android za pośrednictwem SMS-ów zawierających link do pobrania. Takie komunikaty mogą wyglądać następująco:
„Kocham Cię http://[]app.ru/*number*”, gdzie „numer” to numer odbiorcy.
Tak wyglądające wiadomości są wysyłane do wszystkich adresatów w książce telefonicznej, przez co Android.Wormle.1.origin może zainfekować bardzo dużą ilość urządzeń w krótkim czasie, a tym samym poszerzyć znacznie sam botnet. Statystyki zebrane przez Doctor Web wskazują, że jak dotąd złośliwym oprogramowaniem zostało zainfekowanych ponad 14,000 tysięcy urządzeń, należących do użytkowników mieszkających w ponad 20 krajach. Większość z nich – 12, 946 tysięcy (91,49%) – znajduje się w Rosji, a następnie na Ukrainie (0,88%), w USA (0,76%), na Białorusi (0,51%), w Kazachstanie (0,25%), Uzbekistanie (0,21%) i Tadżykistanie (0,15 %), co obrazuje również poniższa mapa:
Analitycy bezpieczeństwa Doctor Web w dalszym ciągu uważnie monitorują to zagrożenie. Wpis do wykrywania tego szkodliwego programu został dodany do bazy danych wirusów, tak więc urządzenia z systemem Android, na których działa program Dr.Web oraz Dr.Web Light są chronione przed atakami programu Android.Wormle.1.origin.
źródło: Dr.Web
Kan
No tak kocha, że aż napisał/a aplikacje dla swojej miłości ;). A ludzie instalują takie badziewie odblokowując możliwość uruchomienia programów z nieznanych źródeł i nawet nie dziwi ich czemu taka aplikacja wymaga pełnego dostępu do urządzenia. LOL. Tacy osobnicy są sobie sami winni. Po prostu nastepuje selekcja naturalna, ale w świecie cyfrowym :).
Jak to dobrze, że mam BlackBerry a nie badziewiastego Androida. U mnie robaki to może mieć pies sąsiada
Trzeba by być szczególnym desperatem, aby atakować rynek 0,6% telefonów obsługiwanych przez osoby, którym najpewniej zależy na bezpieczeństwie i wiedzą jakich aktywności unikać. W odróżnieniu od dużej części klientów z 85% telefonów sprzedawanych na rynku.
Za to dla mnie osobiście na BB brakuje conajmniej kilku bardzo dobrych apliacji w tym szczególnie gReader oraz piekielnie szybki Chrome browser.
A na deser mój ulubiony cytat, do którego dokopałem się szukająć informacji o gReaderze na BB10: „ahmed 14 days ago
disappointed as 3 apps work for me out of a hell of a lot of downloads i cant even be bothered counting how many because there are so many that have failed 🙁 let down sorry to dissapoint not trying to put you all down i am just dissapointed”. Pochodzi on ze strony: http://apps.goodereader.com/playbook/playbook-android-apps/?did=239
I dlatego właśnie, że takich desperatów jest mało to ja między innymi wybrałem ten system. Nie dlatego, że podobają mi się ikonki, nie dlatego, że im mniej tym lepiej tylko właśnie dlatego, że elita to zawsze mniejszość. Zwykle ludzie system BB dyskwalifikują za małą liczbę aplikacji. Po co mi aplikacje? W nadmiarze. Po co mi 100 tys. latarek? Po co mi 20 tys. rejestratorów dźwięku? Nawet 10tys, aplikacji pogodynki korzysta z tego samego źródła wiedzy. Za to użytkownicy „androśmiecia” mają robaki i robaki ma pies mojego sąsiada. Ja o takich zagrożeniach czytam tylko w necie.