Специалисты Heimdal Security сообщили об обнаружении нового вируса, предназначенного для заражения Android-устройств. Утилита использует нестандартную схему распространения (при помощи MMS- и SMS-сообщений), способна похитить финансовую информацию, получить root-права к системе, а также удалить все данные с мобильного устройства.
Специалисты назвали используемый способ распространения вируса Mazar BOT уникальным. Вредоносная программа обычно хранится в «левых» каталогах с ПО (иногда встречается и в официальном магазине). Ссылки на вирус рассылаются при помощи MMS и SMS. Переход по такой гиперссылке приводит к загрузке вредоносного файла (расширение .apk), его запуск приводит к инсталляции приложения.
В атакованную систему вирус внедряется как MMS Messaging, после чего просто запрашивает у пользователя права администратора. Нередко доверчивые пользователи просто разрешают повышение привилегий.
После получения прав root программа Mazar BOT способна выполнять немало действий. Кроме прочего, приложение может:
- инициировать исходящие звонки на произвольные номера или контакты пользователя;
- отправлять и читать SMS-сообщения (обычно используется для взлома двухфакторной аутентификации);
- собирать информацию о текущем состоянии мобильного устройства;
- редактировать настройки смартфона;
- инфицировать обозреватель Chrome;
- принудительно активировать спящий режим;
- осуществлять выход в интернет;
- запрашивать сетевой статус;
- удалять все файлы с устройства.
Эксперты также обратили внимание, что Mazar BOT загружает на устройство легитимную программу Tor, которая в дальнейшем используется для выхода в сеть. Иногда также используется утилита Polipo proxy, которая запускает на зараженном устройстве полноценный прокси-сервер. Это позволяет владельцам вредоносной программы отслеживать интернет-трафик, а также осуществлять другие атаки.
После заражения с устройства также отправляется сообщение на номер, принадлежащий иранскому оператору. Сообщение с фразой «Thank you» служит сигналом, что заражено новое устройство.