Новый Android-троянец инфицирует устройства через SMS

Компания «Доктор Веб» обнаружила опасную вредоносную программу Android.Wormle.1.origin, которая инфицирует устройства посредством SMS.

Попав на смартфон или планшет, троянец функционирует в качестве системного сервиса с именем com.driver.system. Затем он устанавливает соединение с командным центром, после чего ожидает поступления дальнейших указаний злоумышленников. Примечательно, что управление ботом может выполняться киберпреступниками как напрямую с контролирующего сервера, так и при помощи протокола Google Cloud Messaging – сервиса, позволяющего разработчикам поддерживать связь со своими приложениями при наличии на целевом устройстве активной учетной записи Google.

Данный троянец обладает чрезвычайно обширным функционалом. В частности, бот способен выполнить следующие действия:

• отправить СМС-сообщение с заданным текстом на один или несколько номеров, указанных в команде;
• разослать СМС-сообщение c заданным текстом по всем номерам из телефонной книги;
• занести в черный список определенный телефонный номер, чтобы заблокировать поступающие с него СМС-сообщения, а также звонки;
• выполнить USSD-запрос (номер, с которого планируется получить ответ на произведенный запрос, заносится в черный список в соответствии с отданной командой – это сделано для того, чтобы заблокировать получение пользователем ответных сообщений);
• переслать на управляющий сервер информацию обо всех полученных СМС-сообщениях, а также совершенных звонках;
• включить диктофонную запись, либо остановить ее, если запись уже ведется;
• получить информацию об учетных записях, привязанных к зараженному устройству;
• получить информацию обо всех установленных приложениях;
• получить информацию о списке контактов;
• получить информацию о мобильном операторе;
• получить информацию об установленной версии ОС;
• получить информацию о стране, в которой зарегистрирована SIM-карта;
• получить информацию о телефонном номере жертвы;
• удалить указанное в команде приложение (для этого троянец демонстрирует специально сформированное диалоговое окно, призванное заставить пользователя выполнить удаление);
• получить информацию о хранящихся на карте памяти файлах и каталогах;
• загрузить на управляющий сервер zip-архив, содержащий указанный в команде файл или каталог;
• удалить заданный файл или каталог;
• удалить все хранящиеся на устройстве СМС-сообщения;
• выполнить DDoS-атаку на указанный в команде веб-ресурс;
• установить связь с управляющим сервером, используя специальные параметры;
• изменить адрес управляющего сервера;
• очистить черный список номеров.

На данный момент вредоносная программа успела инфицировать более 14 000 Android-смартфонов и планшетов, принадлежащих пользователям из более чем 20 стран. Наибольшее число – 12 946 (или 91,49%) инфицированных троянцем мобильных устройств находится в России, далее с заметным отставанием следуют устройства из Украины (0,88%), США (0,76%), Беларуси (0,51%), Казахстана (0,25%), Узбекистана (0,21%), а также Таджикистана (0,15%).