Android pod ostrzałem złośliwych SMS-ów
2014-11-20 11:22
Przeczytaj także: Ataki DoS i botnety najgroźniejsze dla firm
Android.Wormle.1.origin, zarejestrowany w bazie wirusów programu Dr.Web, działa jak robak SMS i rozprzestrzenia się na urządzeniach z systemem Android za pośrednictwem SMS-ów zawierających link do pobrania. Komunikaty mogą wyglądać następująco:"Kocham Cię http://[]app.ru/*numer*", gdzie "numer" to numer odbiorcy.
Wiadomości wysyłane są do wszystkich adresatów w książce telefonicznej, przez co Android.Wormle.1.origin może zainfekować bardzo dużą ilość urządzeń w krótkim czasie, a tym samym poszerzyć znacznie sam botnet. Po zainstalowaniu bot tworzy na ekranie głównym skrót i działa jako usługa systemowa com.driver.system.
fot. mat. prasowe
Android.Wormle.1.origin
Robak rozprzestrzenia się za pomocą wiadomości SMS
Android.Wormle.1.origin łączy się z serwerem dowodzenia i kontroli (C&C) i czeka na dalsze wskazówki od hakerów. Cyberprzestępcy mogą kontrolować bota bezpośrednio przez ich serwer C&C, jak również za pośrednictwem Google Cloud Messaging – usługi, która pozwala programistom komunikować się ze swoimi aplikacjami na docelowych urządzeniach poprzez aktywne konto Google.
Jakie zadania może wykonywać program?
- Wysyłać wiadomości SMS z określonym tekstem do jednego lub kilku numerów wyszczególnionych w poleceniu, a także do wszystkich numerów w książce adresowej;
- Dodać określony numer telefonu do czarnej listy po to, aby blokować przychodzące wiadomości SMS i połączenia z tego numeru;
- Wysyłać zapytanie o kod USSD – (numer USSD jest na czarnej liście po to, aby upewnić się, że użytkownik nie będzie otrzymywał wiadomości zwrotnych);
- Przekazywać informacje o wszystkich otrzymywanych wiadomościach SMS i połączeniach wychodzących do serwera C&C;
- Uruchamiać dyktafon lub zatrzymywać nagrywanie w jego trakcie;
- Pozyskać informacje o kontach powiązanych z zainfekowanym urządzeniem;
- Pozyskać informacje o wszystkich zainstalowanych aplikacjach;
- Zdobyć informacje o kontaktach;
- Gromadzić informacje o operatorze komórkowym;
- Określić wersję systemu operacyjnego;
- Ustalić kraj, w którym zarejestrowana została karta SIM;
- Określić numer abonenta;
- Usunąć określone aplikacje (aby tego dokonać bot wyświetla specjalne okno dialogowe, które zmusza użytkownika do usunięcia programu);
- Zbierać informacje o plikach i katalogach znajdujących się na karcie SD;
- Ładować archiwum zip zawierające określony w instrukcji plik lub folder do serwera C&C;
- Usuwać dany plik lub katalog;
- Usuwać wszystkie wiadomości SMS zapisywane na urządzeniu;
- Przeprowadzić atak DDoS na określonej stronie internetowej;
- Nawiązać połączenie z serwerem C&C zgodnie ze specjalnymi parametrami;
- Zmienić adres serwera sterującego;
- Wyczyścić czarną listę.
- Cyberprzestępcy mogą za pomocą programu Android.Wormle.1.origin pozyskiwać również informacje o koncie bankowym
Statystyki zebrane przez Doctor Web wskazują, że jak dotąd złośliwym oprogramowaniem zostało zainfekowanych ponad 14,000 urządzeń należących do użytkowników mieszkających w ponad 20 krajach. Większość z nich – 12, 946 tysięcy (91,49%) – znajduje się w Rosji, następnie na Ukrainie (0,88%), w USA (0,76%), na Białorusi (0,51%), w Kazachstanie (0,25%), Uzbekistanie (0,21%) i Tadżykistanie (0,15 %).
fot. mat. prasowe
Gdzie występuje zagrożenie?
Zdecydowana większość infekcji miała miejsce w Rosji
![Zagrożenia w sieci: spokój mąci nie tylko phishing [© pixabay.com] Zagrożenia w sieci: spokój mąci nie tylko phishing](https://s3.egospodarka.pl/grafika2/CERT/Zagrozenia-w-sieci-spokoj-maci-nie-tylko-phishing-244620-150x100crop.jpg)
oprac. : Agata Fąs / eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)