Специалисты ИБ-компании «Доктор Веб» обнаружили новый Android-троян, который по команде злоумышленников способен похищать конфиденциальные данные пользователей, отправлять SMS-сообщения, совершать звонки и выполнять другие опасные действия. Вредонос, получивший название Android.Titan.1 (по классификации «Доктор Веб»), нацелен на южнокорейских пользователей и распространяется посредством рассылки нежелательных SMS-сообщений.
В тексте уведомления, в котором говорится о задержке доставки некоего извещения, размещена ссылка, по которой жертве предлагается перейти для ознакомления с информацией. На самом деле ссылка ведет на один из облачных web-сайтов, на котором содержится троян. При посещении ресурса на устройство пользователя автоматически загрузится apk-файл вредоносной программы. Тем не менее, для того чтобы троян инфицировал систему, жертва должна сама осуществить его установку.
По словам специалистов, главная особенность вредоноса заключается в том, что его основной функционал реализован в виде отдельной Unix-библиотеки, тогда как в большинстве известных Android-троянов он, как правило, находится в стандартном исполняемом dex-файле. В данном случае dex-файл используется в качестве вспомогательного компонента, который выполняет несколько незначительных функций. Такой прием встречается достаточно редко, поэтому многие антивирусные инструменты зачастую не могут обнаружить вредоносную программу.
Предположительно, троян все еще находится на стадии разработки поскольку специалисты «Доктор Веб» отмечают наличие в нем ошибок и незадействованного функционала. По их мнению, не исключено, что в будущем может появиться более совершенная версия данного вредоноса.
В тексте уведомления, в котором говорится о задержке доставки некоего извещения, размещена ссылка, по которой жертве предлагается перейти для ознакомления с информацией. На самом деле ссылка ведет на один из облачных web-сайтов, на котором содержится троян. При посещении ресурса на устройство пользователя автоматически загрузится apk-файл вредоносной программы. Тем не менее, для того чтобы троян инфицировал систему, жертва должна сама осуществить его установку.
По словам специалистов, главная особенность вредоноса заключается в том, что его основной функционал реализован в виде отдельной Unix-библиотеки, тогда как в большинстве известных Android-троянов он, как правило, находится в стандартном исполняемом dex-файле. В данном случае dex-файл используется в качестве вспомогательного компонента, который выполняет несколько незначительных функций. Такой прием встречается достаточно редко, поэтому многие антивирусные инструменты зачастую не могут обнаружить вредоносную программу.
Предположительно, троян все еще находится на стадии разработки поскольку специалисты «Доктор Веб» отмечают наличие в нем ошибок и незадействованного функционала. По их мнению, не исключено, что в будущем может появиться более совершенная версия данного вредоноса.