[Anry13]

Цитата:

Сообщение от Surgeon

кстати я себе сразу поставил DrWeb Lite из Маркета. Только в настройках нужно активировать постоянный мониторинг. тормозов нет. уже на что-то один раз обругался...

И правильно! Очень важный момент для Android'a.

Цитата:

Сообщение от Truman

IOS нету.

Тоже заметил. Под iOS, вроде, всего одну зверюшку сляпали. И работает она только под разлоченными устройствами.

Под Blackberry есть зверушки неполезные ни разу. И mTAN повержен:

Цитата:

SMS-троянцы

В 2011 году изменился характер развития sms-троянцев, самого популярного поведения в мире мобильных вредоносных программ. Во-первых, SMS-троянцы перестали быть проблемой исключительно русскоговорящих пользователей. Во-вторых, при этом атаки на российских пользователей стали значительно более массовыми. В-третьих, платформа J2ME перестала быть основной средой обитания SMS-троянцев.

На протяжении первого полугодия 2011 года SMS-троянцы продолжали доминировать среди остальных поведений мобильных зловредов. И лишь к концу года разрыв начал сокращаться, причем в основном из-за небывалой активности китайских вирусописателей, создающих бэкдоров/троянцев-шпионов.

Начало 2011 года «порадовало» многих пользователей мобильных устройств регулярными SMS спам-сообщениями о том, что они получили MMS-подарок от некой Кати. Ничего удивительного в том, что этот «подарок» предлагалось загрузить, перейдя по ссылке в сообщении, не было. Ничего удивительного не было и в том, что находящийся по ссылке JAR-файл на самом деле был SMS-троянцем. Практически во всех зафиксированных нами рассылках вредоносные программы принадлежали к семейству Trojan-SMS.J2ME.Smmer. Эти троянцы достаточно примитивны по своему функционалу, однако учитывая масштаб рассылок и их регулярность, эта примитивность не помешала злоумышленникам заразить немалое количество мобильных устройств. По масштабности данные рассылки значительно превосходили все предыдущие. Мобильные телефоны десятков тысяч пользователей регулярно подвергались риску заражения.

В 2008, 2009 и 2010 годах основной платформой, под которую создавались SMS-троянцы, была J2ME. В 2011 году произошли изменения, и теперь SMS-троянцы для платформы Android приобретают все большую популярность. По сути они ничем не отличаются от своих J2ME-собратьев. Способы маскировки схожи: это, в основном, имитация легальных приложений, например Opera или JIMM. Да и распространяются они, как и J2ME-троянцы, в основном с помощью партнерских программ, причем зачастую одна и та же «партнерка» специализируется и на J2ME-зловредах, и на вредоносных программах для Android.

До 2011 года SMS-троянцы в большинстве своем были нацелены на пользователей из России, Украины, Казахстана. Но в 2011 году китайские вирусописатели также стали активно создавать и распространять SMS-троянцев. Однако вредоносные программы с функционалом только SMS-троянцев не приобрели большой популярности у китайских вирусописателей. Функционал отправки SMS-сообщений на платные номера идет в довесок к прочему разнообразию поведений зловредов из Китая.

Также были зафиксированы первые атаки, нацеленные на пользователей из Европы и Северной Америки. Одним из «пионеров» стал троянец GGTracker, нацеленный на пользователей из США. Приложение маскировалось под утилиту, сокращающую расход заряда аккумулятора смартфона, хотя на самом деле осуществляло подписку пользователя на платный сервис с помощью SMS-сообщений.

Еще одним ярким примером стало семейство SMS-троянцев Foncy. Несмотря на примитивный функционал, Foncy стал первым зловредом, нацеленным на пользователей из Западной Европы и Канады. А более поздние его модификации атаковали пользователей не только из западноевропейских стран и Канады, но и из США, Сьерра-Леоне и Марокко. При этом по некоторым признакам мы можем предположить, что авторы данной вредоносной программы находятся не в России.

Троянец Foncy имеет две характерные особенности. Во-первых, он способен определять, к какой стране относится SIM-карта зараженного устройства, и в зависимости от страны менять и префикс, и номер, на который отправляется SMS-сообщение.


Неполный список коротких номеров разных стран в теле троянца Foncy

Во-вторых, троянец посылает отчет о проделанной работе злоумышленникам. Как правило, троянец без ведома пользователя отправляет SMS-сообщение на премиум-номер для оплаты той или иной услуги. Это может быть доступ к контенту сайта или архиву, подписка на рассылки с сайта и т.п. В ответ приходит SMS-сообщение с подтверждением оплаты, которое вредоносная программа прячет от пользователя. Foncy пересылает текст таких подтверждений и короткие номера, с которых они приходят, своим хозяевам. Сначала эта информация просто пересылалась в SMS-сообщении на номер злоумышленников. Последующие модификации троянца загружали ее непосредственно на их сервер.


Процедура пересылки определенных входящих SMS-сообщений

Очевидно, что таким образом злоумышленники получают информацию о количестве отправленных платных SMS-сообщений и количестве зараженных Foncy устройств.

Man-in-the-M(iddle)obile

Первая атака с помощью техники Man-in-the-Mobile произошла в 2010 году. Однако основное развитие такие атаки получили именно в 2011, когда появились версии зловредов ZitMo и SpitMo под различные платформы (ZitMo для Windows Mobile , ZitMo и SpitMo для Android) и злоумышленники постепенно совершенствовали функционал вредоносных программ.

Троянцы ZitMo (ZeuS-in-the-Mobile) и SpitMo (SpyEye-in-the-Mobile) (http://www.securelist.com/ru/analysi...akty_i_dogadki), работающие в связке с обычными ZeuS и SpyEye, являются одними из самых сложных мобильных зловредов, обнаруженных в последнее время. Их особенности:

• работа в паре. Сами по себе ZitMo или SpitMo — обычные шпионские программы, способные пересылать SMS-сообщения. Однако их использование в паре с «классическим» ZeuS или SpyEye позволило злоумышленникам преодолеть рубеж защиты банковских транзакций mTAN
• узкая «специализация» троянцев: пересылка на номер злоумышленников или на их сервер входящих сообщений с mTAN, которые затем используются киберпреступниками для подтверждения финансовых операций, осуществляемых со взломанных банковских аккаунтов
• кроссплатформенность. Обнаружены версии ZitMo для Symbian, Windows Mobile, Blackberry и Android; SpitMo — для Symbian и Android

Пожалуй, среди наиболее важных событий стоит отметить подтверждение существования зловреда ZitMo для Blackberry и появление версий ZitMo и SpitMo для Android. Появление ZitMo и SpitMo для Android особенно интересно, так как довольно долго наиболее популярной мобильной платформе не уделялось внимания авторами этих вредоносных программ.

В будущем продолжатся атаки с помощью ZitMo, SpitMo или схожих по функционалу вредоносных программ, так или иначе нацеленных на кражу mTAN (а может быть, и другой секретной информации, которая передается с помощью SMS). Однако, вероятнее всего, такие атаки будут точечными, с небольшим числом жертв.