Niemal 60% ataków na urządzenia z Androidem w okresie od sierpnia 2013 r. do lipca 2014 r. miało na celu pieniądze użytkowników - wynika z badania „Mobile cyber-threats” przeprowadzonego przez Kaspersky Lab oraz Interpol.

Rodzaje szkodliwego oprogramowania atakującego urządzenia z Androidem

Jak widać na wykresie, aż 57,08% wszystkich zarejestrowanych incydentów obejmowało ataki z wykorzystaniem szkodliwych programów z kategorii trojan SMS. Ich celem jest przede wszystkim wysyłanie SMS-ów na numery o podwyższonej opłacie (premium rate), oczywiście bez wiedzy właściciela. Zdarzają się też egzemplarze o większej funkcjonalności.

Jednym z nich jest bez wątpienia Android.Wormle.1.origin wykryty w tym miesiącu przez firmę Doctor Web. Szkodnik rozprzestrzenia się na urządzeniach z systemem Android za pośrednictwem SMS-ów o treści: Kocham Cię http://[]app.ru/*numer* (gdzie „numer” jest numerem odbiorcy). Nierozważne pobranie i zainstalowanie pliku skutkuje infekcją. Trojan działa jako usługa systemowa com.driver.system, co widać na poniższym zrzucie ekranu:

Twórcy programu mogą go kontrolować nie tylko przez serwer C&C, ale także za pośrednictwem usługi Google Cloud Messaging, która pozwala programistom komunikować się ze swoimi aplikacjami na docelowych urządzeniach poprzez aktywne konto Google. Trojan charakteryzuje się zresztą rozbudowanym zestawem funkcji. Może m.in.:

• wysyłać SMS-y z określonym tekstem pod jeden lub kilka numerów wyszczególnionych w poleceniu;
• wysyłać SMS-y z określonym tekstem pod wszystkie numery w książce adresowej;
• dodawać numery do czarnej listy po to, by zablokować przychodzące SMS-y i połączenia z określonych numerów;
• przekazywać informacje o wszystkich otrzymywanych SMS-ach i połączeniach wychodzących do serwera C&C;
• pozyskać informacje o wszystkich zainstalowanych aplikacjach i kontach powiązanych z zainfekowanym urządzeniem;
• gromadzić informacje o plikach i katalogach znajdujących się na karcie SD;
• usuwać pliki, katalogi i aplikacje (w tym ostatnim przypadku musi jednak wyświetlić użytkownikowi specjalne okno dialogowe);
• ładować archiwa ZIP zawierające określony w instrukcji plik lub folder do serwera C&C;
• usuwać wszystkie SMS-y zapisywane na urządzeniu;
• uruchamiać i wyłączać dyktafon;
• przeprowadzać ataki DDoS na określone strony internetowe.

Statystyki zebrane przez Doctor Web wskazują, że cyberprzestępcom udało się już zainfekować około 14 tys. urządzeń w ponad 20 krajach. Większość z nich (91,49%) znajduje się w Rosji, co obrazuje poniższa mapa:

Warto odnotować, że według wspomnianego na początku badania Rosja faktycznie stanowi cel największej liczby ataków przy użyciu trojanów SMS - 64,42% incydentów zarejestrowanych przez Kaspersky Lab dotyczyło urządzeń użytkowników z tego państwa. Ataki odnotowano także w Kazachstanie (5,71%), na Ukrainie (3,32%), w Hiszpanii (3,19%), Wielkiej Brytanii (3,02%), Wietnamie (2,41%), Malezji (2,3%), Niemczech (2%), Indiach (1,55%) i Francji (1,32%).

Czytaj także: SandroRat - nowe zagrożenie atakujące urządzenia z Androidem