Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kolejne szkodliwe oprogramowanie w Android Markecie

Denis Nazarow
Kaspersky Lab Expert
Dodany 13 maja 2011, 09:19 CEST

W środę AegisLab znalazł kilka nowych szkodliwych programów w Android Markecie. Pierwszy duży wysyp szkodliwego oprogramowania w tym sklepie miał miejsce ponad dwa miesiące temu i pomiędzy nim a najnowszym incydentem możemy dopatrzyć się kilku podobieństw:
  • po pierwsze, zarówno za marcowym jak i majowym incydentem prawdopodobnie stoi chiński cyberprzestępca (lub grupa cyberprzestępców).
  • po drugie, w obu przypadkach kilka szkodliwych programów pojawiło się jednocześnie w oficjalnym sklepie Google.

Szkodliwy program sam w sobie nie jest szczególnie interesujący. Wysyła wiadomość SMS na chiński numer, a następnie wpisuje znacznik “Y” w celu uniemożliwienia wysyłania kolejnych SMS-ów.

Wysyłanie wiadomości SMS

Wszystkie szkodliwe aplikacje wyszły od tego samego twórcy o nazwie ‘zsone’. Google natychmiast usunął szkodnika z Android Marketu, jak tylko odkryto jego szkodliwy charakter. Istnieje jednak dowód na to, że niektóre aplikacje stworzone przez ‘zsone’ i zidentyfikowane jako szkodliwe zostały umieszczone w Android Markecie już dawno temu.

Szukając w Sieci aplikacji dla swojego urządzenia z Androidem, możesz natrafić na strony internetowe, które stanowią lustro oficjalnego Android Marketu. Strony te dostarczają różnych informacji o aplikacji, takich jak twórca, nazwa pakietu, zezwolenia systemowe, zrzuty ekranu, cena, wersja, liczba pobrań, ostatnia aktualizacja itd. Według jednej z takich stron, aplikacja iCalendar stworzona przez ‘zsone’ została pobrana ze sklepu około 200 razy, a jej ostatnia aktualizacja miała miejsce 19 kwietnia:

Inna stworzona przez niego aplikacja, ‘3D Cube horror terrible’, została po raz ostatni uaktualniona jeszcze wcześniej – 27 lutego.

Czy to oznacza, że szkodnik znajdował się w sklepie przez co najmniej 23 dni, a może i dłużej? Prawdopodobnie tak. Po sprawdzeniu stron lustrzanych okazało się, że wszystkie z nich pokazywały te same daty aktualizacji i inne informacje.

Najnowszy szkodnik jest wykrywany przez nasze rozwiązania jako Trojan-SMS.AndroidOS.Raden.a.