Известный троянец Android.SmsSend распространяется в новом обличии

Антивирусная компания "Доктор Веб" сегодня распространила предупреждение о том, что ранее известный троянец Android.SmsSend.27 теперь распространяется под видом приложения "Камасутра для Android".

Троянец Android.SmsSend.27, который был добавлен в вирусные базы в июне 2011 года, ранее распространялся под видом приложения Jimm - мобильного клиента ICQ. Теперь же реинкарнация этой вредоносной программы преподносится злоумышленниками как приложение "Камасутра для Android". Однако на деле это все тот же троянец, но со слегка измененными ресурсами, которые позволяют вирусописателям дать любое имя своим творениям. Вместе с тем заголовок приложения остался прежним и указывает на предыдущую ложную личину: "Настройка и установка Jimm".

Как и при распространении некоторых ранних модификаций троянцев этого семейства (например, Android.SmsSend.15), злоумышленники поместили на веб-сайт QR-код, который содержит ссылку, ведущую на эту вредоносную программу. При помощи специализированного ПО, установленного в мобильных устройствах, пользователи могут отсканировать этот код и загрузить троянца. Это увеличивает потенциал распространения, так как такой код можно разместить на любом сайте, а содержащаяся в нем ссылка все равно будет вести на вредоносный объект.

Интересной деталью является использованная иконка веб-сайта, распространяющего эту вредоносную программу. В данном случае злоумышленники позаимствовали значок одной из антивирусных программ.

Более подозрительной деталью является форма для ввода адреса электронной почты, которая якобы служит для подписки пользователей на новости, связанные с обновлением приложения "Камасутра для Android". При подтверждении адреса веб-сайт сообщает об ошибке сервера, что может быть воспринято пользователями как обычный технический сбой. Однако если в эту форму поместить любой текст и подтвердить ввод, появится все та же ошибка. Учитывая сущность всего сайта и распространяемой на нем вредоносной программы, можно предположить, что данная форма может служить для сбора адресов электронной почты и дальнейшего пополнения баз данных спамеров.