Новая версия червя вызывает заражение устройства, чтобы отправить тысячи спам текстовых сообщений, и распространилась уже в 16 странах.
Новая версия Android червя Selfmite имеет потенциал, чтобы нарастить огромное количество жертв в своей попытке распространиться на столько устройств, сколько возможно.
Первая версия Selfmite была обнаружена в июне, но его распространение было быстро прекращено благодаря специалистам по безопасности в сети. Червь — редкий тип вредоносных программ в Android экосистеме — распространяется путём передачи текстовых сообщений со ссылками на вредоносный АПК (Android Package) для первых 20 записей в адресной книге каждой жертвы.
В новой версии, которую обнаружили совсем недавно и окрестили Selfmite.b, имеет аналогичный, но гораздо более агрессивный способ распространения, по мнению исследователей из охранной фирмы AdaptiveMobile. Он посылает текстовые сообщения с вредоносной ссылкой на все контакты в адресной книге жертвы, и делает это в один цикл.
«По нашим данным, Selfmite.b отвечает за отправку свыше 150k сообщений в течении последних 10 дней от чуть более 100 зараженных устройств,» сказал Денис Масленников, аналитик по вопросам безопасности AdaptiveMobile в блоге среды. «Если предположить в перспективе, это является более чем в сто раз больше трафика, создаваемого Selfmite.b по сравнению с Selfmite.a»
В среднем это 1500 текстовых сообщений, отправленных с зараженного устройства, Selfmite.b может быть очень дорогостоящим для пользователей, чьи мобильные планы не включают в себя неограниченные SMS сообщения. Некоторые операторы мобильной связи могут обнаружить злоупотребления и блокировать его, но это может оставить жертву не в состоянии отправить законные текстовые сообщения.
В отличие от Selfmite.a, который был найден в основном на устройствах в Северной Америке, Selfmite.b распространился уже по крайней мере в 16 различных стран: Канады, Китая, Коста-Рика, Гана, Индия, Ирак, Ямайка, Мексика, Марокко, Пуэрто-Рико, Россия, Судан, Сирия, США, Венесуэла и Вьетнам.
Первая версия червя использовала goo.gl сокращенный URL-адрес в спам-сообщений, которые указывали на установщик АПК для вредоносных программ. Эти URL-адреса были жестко прописаны в коде приложение, поэтому после блокировки Google этой ссылки, распространение Selfmite.a остановилось.
Авторы червя применили другой подход в новой версии. Они все еще используют укороченные URL-адреса в текстовых сообщений — но на этот раз, укороченные x.co службой Go Daddy — но эти URL-адреса указаны в конфигурационном файле, которые скачивает червь периодически с сервера сторонних производителей.
«Мы уведомили Go Daddy о вредоносных URL-адресах x.co и на данный момент оба укороченные URL-адреса выключены», сказал Масленников. «Но дело в том, что автор (ы) червя могут изменить удаленно с помощью файла конфигурации что осложняет работу по блокированию всего процесса заражения.»
Цель Selfmite является генерировать деньги для своих создателей через оплату за установку схем путем поощрения различных приложений и услуг. Старая версия распространяла Mobogenie, законное приложение, которое позволяло пользователям синхронизировать свои Android устройства с их ПК и загружать приложения для Android от альтернативного магазина приложений.
Selfmite.b создает две иконки на главном экране устройства, одну к Mobogenie и один к приложению под названием Mobo магазин. Тем не менее, они выступают в качестве веб-ссылки и нажатие на них может привести к различным приложениям и онлайн предложениям в зависимости от IP жертвы (Internet Protocol) и адреса местонахождения.
К счастью, система распределения червя не использует подвиги и полагается только на социальной инженерии — пользователи должны нажать на спам ссылку, а затем вручную установить скачанный APK для того, чтобы их устройство было заражено. Кроме того, их устройства должны быть настроены на разрешение установки приложений из неизвестных источников — ничего, кроме Google Play — который стоят по умолчанию в Android. Это дополнительно ограничивает уровень успеха в нападении.