Новый троян, который создали совсем недавно на инфицированном мобильном устройстве, проверяет активность антивирусов и наличие root-доступа. В случае если таковых не обнаружено, Android.Nimefas.1.origin отправляет IMSI (международный идентификатор мобильного абонента) на случайный номер из адресной книги зараженного телефона. Затем вирус рассылает по базе контактов SMS с текстом, загруженным с удаленного узла управления.
Сама база контактов в свою очередь передается на сервер злоумышленников. Кроме того, Android.Nimefas.1.origin способен скрывать входящие сообщения от пользователя, используя фильтр по номеру или тексту SMS, также полученный с узла управления.
Троянская программа загружается вместе с сайтом каталогов ПО с одного из китайских сайтов. Сервер реагирует и говорит об угрозе, но удаленный сервер в это время уже не функционирует.
Компания "Доктор Веб" - российский производитель антивирусных средств защиты информации - обнаружила первую вредоносную Android-программу, для распространения которой используется известная с недавнего времени уязвимость Master Key. Android.Nimefas.1.origin способен отправлять СМС-сообщения, передавать злоумышленникам конфиденциальную информацию пользователей, а также позволяет удаленно выполнять ряд команд на инфицированном мобильном устройстве. Об этом сообщает IT Expert со ссылкой на сообщение пресс-службы разработчика антивурусов.
Обнаруженный троянец, добавленный в вирусную базу Dr.Web под именем Android.Nimefas.1.origin, распространяется в Android-приложениях в виде модифицированного киберпреступниками dex-файла и располагается рядом с оригинальным dex-файлом программы. Напомним, что уязвимость Master Key заключается в особенностях обработки устанавливаемых приложений одним из компонентов ОС Android: в случае, если apk-пакет содержит в одном подкаталоге два файла с одинаковым именем, операционная система проверяет цифровую подпись первого файла, но устанавливает второй файл, проверка которого не производилась. Таким образом, обходится защитный механизм, препятствующий инсталляции приложения, модифицированного третьими лицами.
Запустившись на инфицированном мобильном устройстве, троянец, в первую очередь, проверяет, активна ли хотя бы одна из служб, принадлежащих ряду китайских антивирусных приложений.