Специалисты по безопасности рекомендуют пользователям устройств Android не загружать приложения из сомнительных источников, так как новая хитроумная вредоносная программа распространяется среди пользователей Android посредством фишинговых электронных писем.
Киберпреступники в настоящее время распространяют вредоносное приложение под названием SandroRAT путем массовой рассылки спама пользователям Android. Данное приложение является новой разновидностью средства удаленного доступа к Android девайсам (RAT).
Электронные письма маскируются под уведомление от банка, предупреждающее пользователей о заражении их устройства вредоносными программами и предлагающее фальшивый мобильный антивирус, якобы уничтожающий зловредные программы.
Мобильный антивирус выдает себя за Kaspersky Mobile Security, но на самом деле он является разновидностью SandroRAT, средства удаленного доступа, предназначенного для устройств Android. Его исходный код продается на подпольных хакерских форумах с декабря прошлого года.
Карлос Кастилло, эксперт по мобильным вредоносным приложениям из McAfee, детально изучил новый вариант трояна удаленного доступа под Android. По его словам, распространяемое путем фишинга приложение позволяет выполнить ряд вредоносных команд на зараженных устройствах.
SandroRAT дает злоумышленнику неограниченный доступ к таким конфиденциальным данным, как СМС-сообщения, списки контактов, журналы звонков, история браузера (в том числе банковские учетные данные) и данные о местоположении GPS, хранящимся в устройствах Android, и сохраняет все вышеуказанные данные в специальном файле на карте памяти для последующей их отсылки на удаленный управляющий сервер.
Рассылки спама через смс или электронную почту становятся популярным способом распространения вредоносных приложений под Android, крадущих персональные данные или захватывающих полный контроль над устройством, наподобие SandroRat. Данная атака вызывает доверие с появлением банков, предлагающих средства защиты от банковских троянов – типичное поведение легальных банков.
Новая версия SandroRAT умеет обновлять сама себя и устанавливать дополнительные вредоносные приложения, требуя от пользователя подтверждение выполнения таких действий. Троян предоставляет злоумышленнику полный контроль над сообщениями, позволяя перехватывать, блокировать и воровать входящие сообщения, а также вставлять и удалять их.
Кроме того, злоумышленник может отсылать мультимедийные сообщения с определенными параметрами, отправленными управляющим сервером, и записывать ближайшие звуки с помощью микрофона устройства.
Кастилло также отмечает, что троян SandroRAT способен расшифровывать сообщения более старых версий приложения для обмена сообщениями Whatsapp. Однако новейшая версия данного приложения неуязвима, поскольку его разработчики внедрили более стойкую схему шифрования.
Метод расшифровки, применяемый трояном, не будет работать с сообщениями WhatsApp, зашифрованными самой новой версией приложения, поскольку схема шифрования (crypt7) стала более стойкой благодаря использованию уникальной серверной соли. Пользователям WhatsApp следует обновить приложение до последней версии.
Пользователям настоятельно рекомендуется не скачивать приложения из неизвестных источников, особенно если ссылка для скачивания приложения отправлена по электронной почте. Желательно всегда скачивать приложения из Google Play или других проверенных источников.