Вредное ПО, использующее одну из уязвимостей ОС Android, было обнаружено специалистами лаборатории "Doctor Web". Вирус детектируется как Android.Nimefas.1.origin и способен без ведома согласия пользователя отправлять сообщения, собирать данные о системе и выполнять другие инструкции, полученные от своего создателя. Троян проникает в устройство при установке приложений, используя недоработку в Master Key.
После того, как вирус запускается, он проверяет, есть ли на устройстве антивирусное ПО или права суперпользователя. Если ни того, ни другого не найдено, вирус продолжает хозяйничать в системе: для начала отправляет в штаб IMSI устройства, а затем делает рассылку текстами со стороннего ресурса всем контактам адресной книги, на тот же ресурс отправляются данные обо всех контактах пользователя. Также вирус может скрывать сообщения, фильтровать их по содержанию или отправителю, чтобы как можно дольше не выдавать себя.
Blue box Security установили, что используемая трояном уязвимость состоит в способе установки приложений: если подкаталог в apk-файле приложения содержит два файла с одинаковым именем, то цифровая подпись проверяется только у первого, другой же файл запустится без проверки. Как раз во втором файле и содержится троян.
На данный момент известен только один источник распространения - китайский онлайн-каталог программ для смартфонов. Владельцы сайта уже оповещены, а управляющий сервер заблокирован. Но легкость такой схемы распространения вредного ПО наталкивает на мысль о том, что скоро появится множество вирусов, использующих эту уязвимость.
