О вредоносном ПО для платформы Android новостные ресурсы часто пишут – обычно злоумышленники пользуются отсутствием премодерации в онлайн-магазине Google. К тому времени, как специалисты корпорации удаляют трояна, его успевает скачать некоторое количество пользователей. Новая угроза относится к несколько иному типу.

jSMSHider поражает альтернативные прошивки, основанные на платформе Android, такие, как CyanogenMod. Вредоносное ПО использует особенность архитектуры Android – система предоставляет дополнительные полномочия приложениям, подписанным тем же ключом, что и основная прошивка. Такие программы могут, например, устанавливаться без вывода уведомления и получения подтверждения от пользователя.

По утверждению авторов публикации, экземпляры jSMSHider были отловлены ими в диком виде. Для заражения пользователь должен запустить вредоносный код на своем мобильном устройстве (атаку можно осуществить через Android Market или, что еще проще, с помощью пиратских версий коммерческого ПО для Android). После запуска jSMSHider включает функции работы с короткими текстовыми сообщениями, установки приложений, скрытого открытия URL и обращения к удаленному узлу для получения управляющих команд. По сути дела, он позволяет злоумышленникам взять под контроль атакованный гаджет.

Этот троян выделяется среди подобных программ направленностью на альтернативные сборки Android – закрытые ключи для проприетарных прошивок хакерам получить будет затруднительно, тогда как в некоторых открытых проектах они могут быть доступны любому желающему. По крайней мере, в теории. На практике у меня есть очень серьезное сомнение, что закрытый ключ разработчики станут свободно раздавать всем желающим. Кроме того, чтобы использовать дополнительные привилегии, приложение должно быть подписано для конкретной версии прошивки.

В старых версиях CyanogenMod прошивки подписывались стандартными ключами из репозитория AOSP (Android Open Source Project). Выпущенная в начале мая версия 7.0.3 этой болезни уже не подвержена, а кроме того в ней не предоставляются дополнительные привилегии подписанным системным ключом программам. Думаю, jSMSHider не сможет положить начало новому классу троянов для Android – авторы открытых прошивок теперь будут осторожнее.