Mobilne malware oszczędza użytkowników z rosyjskojęzycznym Androidem
Eksperci z zajmującej się między innymi bezpieczeństwem urządzeń mobilnych duńskiej firmy Heimdal Security informują, że wśród urządzeń z Androidem rozpowszechnianie jest groźne, aczkolwiek mało wyrafinowane oprogramowanie typu malware. Mazar BOT po zainfekowaniu i instalacji posiada prawa administratora do wykonania komend, które mogą nie tylko zapewnić dostęp do korespondencji użytkownika, ale także całkowicie usunąć z urządzenia dane. Jest jednak grupa użytkowników, która może czuć się bezpieczenie: stanowią ją osoby, które korzystają z rosyjskojęzycznej wersji systemu.
Mazar jest rozpowszechniany w mało wyrafinowany sposób, ale również na tyle rzadki, aby uśpić czujność użytkowników. Odbywa się to bowiem za pomocą SMS-a z informacją o otrzymaniu MMS-a, którego treść można zobaczyć pod wskazanym w wiadomości linkiem. Jest to zatem typowy komunikat, jaki otrzymują użytkownicy, którzy nie posiadają prawidłowo skonfigurowanej tej usługi. W rzeczywistości link prowadzi do pliku APK, który instaluje szkodliwe oprogramowanie. Aby mogło się to odbyć użytkownik musi oczywiście zezwolić wcześniej na instalacje aplikacji z nieznanych źródeł, oraz zgodzić się na instalację. Trzeba zatem jasno stwierdzić, że atak nie należy do wyrafinowanych i wycelowany jest w najmniej doświadczonych użytkowników.
Tych jednak nie brakuje. Choć Heimdal Secuirty nie dysponuje liczbą skutecznie przeprowadzonych ataków, wiadomo jednak, że wiadomość została rozesłana do ponad 100 tysięcy numerów w samej Danii. Wśród nich nie zabrakło pewnie osób, u których standardowy proces instalacji oprogramowania w zwyczajnym graficznym interfejsie Androida nie wzbudził większych zastrzeżeń. Gdy zostanie on już zakończony, program ustanawia połączenie w sieci Tor i łączy się ze stroną o domenie .onion. Następnie na numer rozpoczynający się od +98, co stanowi kod Iranu, zostaje wysłany SMS o treści „Thank you”.
Po skutecznie przeprowadzonym ataku, Mazar zyskuje w zasadzie pełnie praw administratora na urządzeniu. Mimo skrajnie prymitywnej formy dystrybucji, w badaniach Heimdal wykryły go tylko 3 z 54 programów antywirusowych. Nie to jest jednak w przypadku tego oprogramowania najciekawsze. Otóż po uruchomieniu aplikacji, dzięki przyznanym uprawnieniom, sprawdza ona wersję językową systemu operacyjnego, jaką wykorzystuje na swoim urządzeniu użytkownik. Jeżeli jest to język rosyjski, to wykonywana zostaje funkcja warunkowa, która kończy proces działania szkodliwej aplikacji.
