На интересна статия се натъкнах в блога на Lookout. Като цяло линка беше от страницата на CyanogenMod във Facebook.
За поредният malware, за който и Андроид България спомена, става въпрос. Името му е jSMSHider и е доказано, че атакува предимно custom ROMs.
Досега са намерени 8 различни модификации на този вирус и то предимно във алтернативни Маркети и предимно в китайски форуми.Предполага се, че именно по тази причина, вируса не е атакувал много хора.
Начина по който вируса работи е да добавя допълнителни изисквания при инсталация на програми. На пръв поглед действа като всеки останал троянски кон, но този атакува начина по който custom ROM's sign images. В андроид всяка "програма", която sign-ва images, автоматично и се гарантират всички права, която тя изисква. (включително инсталиране и деинсталиране на програми, без да попита собственика на телефона)
По този начин jSMSHider инсталира допълнителна програма, която да се свързва със сървър някъде из мрежата. Ако това се случи, ето и възможностите на вируса:
- възможност за четене и изпращане на всички sms до сървър
- инсталиране на всякакви програми
- свързването с отдалечен сървър става чрез DES encryption
- отваряне на браузър на телефона
- и други
Връзката до командния сървър се осъществява чрез няколко събдомейни:
- xmstsv.com
- namely srv.xmstsv.com
- srv1.xmstsv.com
- srv2.xmstsv.com.
Тъй като статията е в блога на Lookout, те от своя страна гарантират, че независимо дали сте free или premium потребител - няма от какво да се притеснявате. Припоняме Lookout я има в Маркета
Отговора на Cyanogen е, че те са уведомени за вируса и са взели съответните мерки. Съвета им е да инсталирате винаги последната версия на ROM-a, който ползвате.
Няма коментари:
Публикуване на коментар