Android.Arspam.1 распространяет политический спам
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — предупреждает о распространении новой угрозы для мобильных устройств, работающих под управлением операционной системы Google Android. Эта вредоносная программа, о появлении которой ранее уже сообщала одна из антивирусных компаний, была добавлена в вирусные базы Dr.Web под названием Android.Arspam.1. Троянец предназначен для несанкционированной массовой рассылки СМС-сообщений.
Вредоносная программа Android.Arspam.1 встроена в легитимное приложение AlSalah, предназначенное для мусульман и реализующее функции компаса, который с помощью GPS-координат абонента определяет направление на Мекку и расстояние до нее. Также приложение демонстрирует текущую дату по мусульманскому календарю и способно высчитывать время пяти ежедневных молитв.
Немаловажно и то обстоятельство, что предлагаемая на официальном сайте Android Market версия данной программы не несет какого-либо деструктивного функционала, в то время как аналогичное приложение, распространяемое на арабоязычных форумах, как правило, содержит в себе троянца. Иными словами, злоумышленники воспользовались программой AlSalah в своих интересах, добавив в нее вредоносную нагрузку.
Стартовав на инфицированном устройстве, Android.Arspam.1 создает и регистрирует новую службу com.awake.alArabiyyah, которая запускается вместе с операционной системой. Затем троянец собирает перечень контактов, сохраненных в адресной книге мобильного устройства, и рассылает каждому из них одну из ссылок на интернет-форумы, посвященные политическим событиям на Ближнем Востоке, в частности, революции в Тунисе — открываемые по ссылке сообщения содержат фотографии тунисца Мохаммеда Буазизи (Mohamed Bouazizi), совершившего акт самосожжения 17 декабря 2010 года, положив тем самым начало беспорядкам в целом ряде арабских государств.
Список рассылаемых адресов хранится непосредственно в теле троянца. Кроме того, если работающая в устройстве сим-карта зарегистрирована в Бахрейне, то троянец скачивает с удаленного сервера PDF-документ, содержащий разработанный Независимой комиссией Бахрейна (Bahrain Independent Commission) отчет о нарушении прав человека в этой стране.
Android.Arspam.1 — это первый известный на сегодняшний день троянец для мобильных устройств, распространяющий политические СМС-сообщения. Несмотря на то что реализован он достаточно примитивно, нельзя не отметить весьма грамотный подход в выборе тематики приложения с учетом потенциальной аудитории генерируемых троянцем сообщений.
Кроме того, поскольку Android.Arspam.1 уже сейчас содержит функционал, позволяющий загружать файлы с удаленных узлов, в дальнейшем можно ожидать появления новых, более совершенных его модификаций, способных, например, получать от управляющих центров конфигурационные файлы или списки ссылок для последующей отправки получателям. Теоретически также возможно объединение работающих под управлением ОС Android спам-ботов в ботнеты. Однако это вопрос будущего: на сегодняшний день пользователи программных продуктов Dr.Web для Android Антивирус + Антиспам и Dr.Web для Android Light полностью защищены от данной угрозы.