Антивирусная компания «Доктор Веб» сегодня распространила предупреждение о том, что ранее известный троянец Android.SmsSend.27 теперь распространяется под видом приложения «Камасутра для Android».
В «Доктор Веб» говорят, что на сегодняшний день в вирусных базах компании имеется более 170 записей для троянцев Android.SmsSend, а антивирусная лаборатория «Доктор Веб» располагает большим количеством образцов вредоносных программ этого семейства. Более того, ежедневно на анализ поступает несколько новых семплов. Большинство новых реализаций троянцев Android.SmsSend успешно детектируются.
Троянец Android.SmsSend.27, который был добавлен в вирусные базы в июне 2011 года, ранее распространялся под видом приложения Jimm — мобильного клиента ICQ. Теперь же реинкарнация этой вредоносной программы преподносится злоумышленниками как приложение «Камасутра для Android». Однако на деле это все тот же троянец, но со слегка измененными ресурсами, которые позволяют вирусописателям дать любое имя своим творениям. Вместе с тем заголовок приложения остался прежним и указывает на предыдущую ложную личину: «Настройка и установка Jimm».
Как и при распространении некоторых ранних модификаций троянцев этого семейства (например, Android.SmsSend.15), злоумышленники поместили на веб-сайт QR-код, который содержит ссылку, ведущую на эту вредоносную программу. При помощи специализированного ПО, установленного в мобильных устройствах, пользователи могут отсканировать этот код и загрузить троянца. Это увеличивает потенциал распространения, так как такой код можно разместить на любом сайте, а содержащаяся в нем ссылка все равно будет вести на вредоносный объект.
Интересной деталью является использованная иконка вебсайта, распространяющего эту вредоносную программу. В данном случае злоумышленники позаимствовали значок одной из антивирусных программ.
Более подозрительной деталью является форма для ввода адреса электронной почты, которая якобы служит для подписки пользователей на новости, связанные с обновлением приложения «Камасутра для Android». При подтверждении адреса веб-сайт сообщает об ошибке сервера, что может быть воспринято пользователями как обычный технический сбой. Однако если в эту форму поместить любой текст и подтвердить ввод, появится все та же ошибка. Учитывая сущность всего сайта и распространяемой на нем вредоносной программы, можно предположить, что данная форма может служить для сбора адресов электронной почты и дальнейшего пополнения баз данных спамеров.
Источник: CyberSecurity
|