Szkodliwe programy mobilne 2011

Przeczytaj także: Szkodliwe programy mobilne 2010

Dropper ten kopiuje exploita, bota IRC oraz trojana SMS do nowego foldera (/data/data/com.android.bot/files), a następnie uruchamia exploita roota. Jeżeli działanie to powiedzie się, exploit uruchomi backdoora, który z kolei zainstaluje trojana SMS Foncy (o czym szerzej napiszemy w sekcji o trojanach SMS). Warto podkreślić, że backdoor musi zainstalować i uruchomić plik APK trojana SMS; zanim to nastąpi, dropper po prostu kopiuje trojana do systemu:

Po uruchomieniu trojana SMS backdoor próbuje połączyć się ze zdalnym serwerem IRC na kanale #andros przy użyciu losowej nazwy użytkownika. Następnie może akceptować wszelkie polecenia powłoki z serwera i wykonać je na zainfekowanym urządzeniu.

Szkodliwe oprogramowanie w sklepie Google Play

Kolejną bolączką 2011 roku stały się szkodliwe programy wykrywane w oficjalnym sklepie Google Play. Pierwszy taki przypadek został odnotowany na początku marca 2011 roku, po czym zagrożenia zaczęły pojawiać się w sklepie Google Play regularnie. Popularność platformy Android oraz łatwość rozwijania aplikacji dla tego systemu operacyjnego, w połączeniu z możliwością udostępniania ich za pośrednictwem oficjalnego źródła bez skutecznego systemu analizy zagrożeń sprawiły, że Google Play przerodził się w coś na kształt chorego żartu. Szkodliwi użytkownicy wykorzystali wszystkie te czynniki i w efekcie doszło do sytuacji, gdy zagrożenia były rozprzestrzeniane za pośrednictwem sklepu Google Play nie tylko przez kilka godzin czy dni, ale nawet przez okres tygodni lub nawet miesięcy, prowadząc do dużej liczby infekcji.

Trojany SMS

W 2011 r. nastąpiły pewne zmiany w sposobie rozwijania najbardziej rozpowszechnionego zachowania wśród zagrożeń mobilnych. Po pierwsze, trojany SMS przestały być wyłącznym problemem rosyjskojęzycznych użytkowników. Po drugie, lawinowo wzrosła liczba ataków na rosyjskich użytkowników. Po trzecie, platforma J2ME przestała być głównym środowiskiem trojanów SMS.

W pierwszej połowie 2011 r. trojany SMS nadal dominowały wśród innych typów zachowań zagrożeń mobilnych. Dopiero pod koniec roku przepaść ta zaczęła się nieco zmniejszać ze względu na nieustaną aktywność chińskich twórców wirusów produkujących backdoory i trojany spyware.

Na początku 2011 r. wielu użytkowników urządzeń mobilnych było regularnie zalewanych wiadomościami tekstowymi, które informowały ich o tym, że wygrali prezent od niejakiej Katii. Jednak gdy próbowali pobrać ten „prezent”, otrzymywali plik JAR, który w rzeczywistości okazywał się trojanem SMS. Prawie wszystkie szkodliwe programy wykryte przez Kaspersky Lab pochodziły z rodziny Trojan-SMS.J2ME.Smmer. Trojany te są stosunkowo prymitywne pod względem funkcji, jednak biorąc pod uwagę ogromną skalę i częstotliwość ich wysyłania, prostota tego zagrożenia nie przeszkodziła szkodliwym użytkownikom zainfekować ogromnej liczby urządzeń mobilnych. Skala tych wysyłek była znacznie większa w porównaniu z poprzednimi atakami. Telefony komórkowe dziesiątek tysięcy użytkowników były regularnie zagrożone infekcją.

W 2008, 2009 i 2010 r. J2ME była główną platformą atakowaną przez trojany SMS. W 2011 r. nastąpiła zmiana i obecnie większość trojanów SMS jest tworzonych w celu przeprowadzania ataków na platformę Android. Nowe trojany są zasadniczo takie same jak ich odpowiedniki dla J2ME. Wykorzystują te same metody służące do maskowania się – zwykle polegają one na imitowaniu legalnej aplikacji, takiej jak Opera czy JIMM. Ponadto z trojanami J2ME łączy je również sposób rozprzestrzeniania się, zwykle przy pomocy programów partnerskich. Z reguły jeden program partnerski specjalizuje się zarówno w zagrożeniach J2ME oraz szkodliwym oprogramowaniu atakującym Androida.

Przed 2011 r. głównym celem trojanów SMS byli użytkownicy z Rosji, Ukrainy oraz Kazachstanu. Jednak w 2011 r. chińscy twórcy wirusów zaczęli tworzyć i rozprzestrzeniać również trojany SMS. Nie były to jednak szkodliwe programy działające wyłącznie jak trojany SMS. Wysyłanie wiadomości tekstowych na płatne numery stanowi obecnie „funkcję dodatkową”, dołączaną do innych chińskich zagrożeń.