Мобильные вирусы: привет из дружественного Китая

Количество новых смартфонов, в том числе и на ОС Android, которые появляются на полках салонов и в интернет-магазинах, захватывает. Пожалуй, мы каждый день видим что-то новое. Видим – и нередко путаемся в этом лоскутном одеяле современных гаджетов. Как вы знаете, каждый смартфон обладает собственной операционной системой, которая несколько отличается от тех, что установлены на наших компьютерах.

ANDROID.SMSSEND

Естественно, что вместе с популярностью платформы повышается и внимание к ней с о стороны различных мошенников и особенно вирусописателей. Еще пару лет назад рассуждения о вирусных угрозах для смартфонов (в частности, на базе Android) вызывали легкую усмешку. Сейчас же она с легкостью пропадает с лиц простых пользователей в России, которые сталкиваются с этой проблемой напрямую.

Итак, чего же опасаться владельцам девайсов под управлением ОС Android?

Прежде всего троянцев семейства Android.SmsSend, рассылающих SMS-сообщения на короткие номера без ведома пользователя и опустошающих его счет. Одно из первых упоминаний этой вредоносной программы относится к августу 2010 года. Казалось бы, совсем недавно. Однако не стоит удивляться. Мобильный рынок очень динамичен, и вирусописателям также приходится проявлять изобретательность и действовать быстро.

Именно 5 августа 2010 года пользователь известного российского форума 4pda, посвященного мобильным телефонам, смартфонам и КПК, пожаловался на некую программу-видео-плеер, закачивающуюся с определенного сайта. В разрешениях к этой программе была указана работа с SMS, а точнее, их отправка – permission.SEND_SMS. На следующий день еще один пользователь форума сообщил о данном файле.

Читатели 4pda отправили подозрительный файл в антивирусные компании, тогда же Android.SmsSend.1 был добавлен в вирусные базы Dr.Web. Чуть позднее этот вредоносный объект добавили в свои базы (под принятыми у себя наименованиями) и зарубежные производители антивирусов.

Следующая модификация Android.SmsSend была детектирована уже в сентябре. А потом наступило затишье. Практически месяц об SMS-троянах для Android ничего не было слышно, за исключением бурных дискуссий вокруг уже обнаруженных версий. Кто-то считал, что подхватить такой троян невозможно, если соблюдать элементарные правила безопасности – быть внимательным, особенно оказавшись на подозрительном сайте, проверять разрешения для программ при установке. Другие оппонировали – невнимательность и любопытство свойственны людям, и никакая осторожность при посещении сомнительных ресурсов не гарантирует полную защиту от угроз.

Очередную модификацию мобильного вируса Android.SmsSend нашли осенью 2010 года. Интересна она прежде всего способом проникновения на смартфоны жертв. Владельцы сайтов с контентом для взрослых (о сайтах других категорий как об источниках этого вируса пока ничего не известно) в рамках партнерской программы могут добавлять на свои страницы функцию загрузки троянца. Но хитрость заключается в том, что Android.SmsSend будет загружен только тогда, когда посещение сайта происходит с браузера мобильного устройства. Таким образом, при посещении такого сайта SMS-троянец будет загружен на Android-смартфон без согласия пользователя. Владелец устройства может ничего и не заметить, кроме быстро исчезающего системного сообщения о начале загрузки. В дальнейшем случайно или из любопытства он может установить программу, а пикантное название или невнимательность в свою очередь приведут к ее запуску.

На сегодняшний день модификации Android.SmsSend появляются все чаще. Очевидно, что злоумышленники нашли здесь золотую жилу и останавливаться на достигнутом не намерены.

К сожалению, SMS-троянцы – отнюдь не единственная угроза для владельцев смартфонов под управлением операционной системы Android. Есть также такие опасные «творения» вирусописателей, как Android.Geinimi, Android.Spy и Android.ADRD. Объединяет их страна происхождения – Китай.

Эти троянцы распространяются под видом известных программ, игр и живых обоев. Среди этого перечня – как популярное во всем мире, так и известное лишь в Китае ПО.

Схема заражения в этом случае выглядит следующим образом. Пользователь смартфона скачивает и устанавливает себе такую программу, запускает ее. Внешне она работает так, как, в принципе, и должна: в игру можно играть, в программах нет никаких сбоев, функционал соответствует названию. Однако скрытно от пользователя вместе с основной программой запускается и ее троянская составляющая.

ANDROID.GEINIMI

В функционал Android.Geinimi входит определение местоположения смартфона, загрузка файлов из Интернета (другие программы), считывание и запись закладок браузера, чтение контактов, совершение звонков, отправка, чтение и редактирование SMS и т.д. Даже если закрыть запущенную программу, троянский сервис продолжит свою работу в фоновом режиме.

ANDROID.SPY

Вредитель, помимо чтения и записи контактов, работы с SMS, определения координат и пр., имеет функцию автозагрузки. Его действиями создатели могут управлять удаленно через SMS. Android.Spy может загружаться при включении смартфона, его цель – сбор идентификационных данных, возможность задания определенных параметров поиска в поисковом движке, а также переход по ссылкам.

Из этого обзора видно, что серьезность вирусных угроз для платформы Android – уже далеко не миф, и их широкое распространение, скорее всего – дело времени. Не нужно проводить крупномасштабное исследование, чтобы увидеть, что вирусописатели действуют все изощреннее, а количество ценных данных, хранимых пользователями в памяти своих мобильных устройств, растет в геометрической прогрессии.

ANDROID.YOULUBG

Из угроз, проявившихся совсем недавно, стоит выделить Android.Youlubg (по классификации Dr.Web). Как обычно, злоумышленники воспользовались известной программой, добавив в нее вредоносный функционал. Основная функция Android.Youlubg – сбор персональной информации абонента и связь с управляющим сервером злоумышленников. 

В связи с этим сложно переоценить ценность специализированного антивирусного ПО, «заточенного» специально под Android. К примеру, одна из таких разработок создана специалистами российской компании «Доктор Веб».