Специалисты компании «Доктор Веб» обнаружили новый вирус для Android, особенностью работы которого стало использование протоколов популярного мессенджера Telegram. Троян, получивший название Android.Spy.377.origin, является утилитой удаленного администрирования, то есть злоумышленники подают команды вредоносу на выполнение определенных действий. Зловред атакует в основном пользователей из Ирана.
Вирус Android.Spy.377.origin маскируется под безобидные программы. Антивирус Dr.Web обнаружил его в клонах популярных приложений Insta Plus, Profile Checker и Cleaner Pro. Процесс заражения устройства довольно прост. При запуске вредоносной программы троян предлагает пользователю проверить его популярность в мессенджере Telegram (узнать количество посетителей его «страницы»). Для этого необходимости ввести идентификатор аккаунта. После ввода уникального Telegram ID вирус генерирует случайное число, выдавая его за количество уникальных посетителей. Через некоторое время после запуска зловред удаляет свой значок из меню приложений и закрывает свое окно (если оно активно).
После этого начинается процесс сбора информации. Android.Spy.377.origin сохраняет журнал звонков и сообщений, телефонную книгу и сведения об аккаунте Google в текстовые файлы, которые позже отправляет боту в Telegram. Если все прошло успешно, вирус уведомляет бота об успешной краже данных. Далее злоумышленники отправляют зловреду команды через бота в Telegram для выполнения определенных функций: совершения звонков, отправки SMS, передачи местоположения устройства, удаления одного или группы файлов и прочих.
По заявлениям представителей «Доктор Веб», зловред Android.Spy.377.origin внесен в вирусную базу их фирменного антивируса, поэтому Dr.Web защитит мобильное устройство от этого трояна.
