Pojawienie się nowej rodziny szkodliwych programów dla Androida nie jest w dzisiejszych czasach specjalnie zaskakujące – szczególnie gdy mówimy o trojanach wysyłających SMS-y bez wiedzy użytkowników smartfonów. Kilka dni temu pojawił się trojan Vidro. Ciekawe jest to, że wszystkie znane w obecnej chwili próbki trojana Vidro mają na celowniku wyłącznie użytkowników z Polski.
Vidro rozprzestrzenia się przez strony z treściami pornograficznymi. Mechanizm infekcji jest bardzo podobny do tego, który został wykorzystany w pierwszym trojanie dla Androida – FakePlayer. Jeżeli użytkownik spróbuje otworzyć pornograficzną witrynę spreparowaną przez cyberprzestępców przy użyciu urządzenia z systemem Android, zostanie mu zaproponowana wersja “zoptymalizowana” specjalnie dla tego systemu.
Strona spreparowana przez cyberprzestępców z myślą o użytkownikach Androida
Po kliknięciu odsyłacza “Watch now” użytkownik zostanie przekierowany na stronę o nazwie “Vid4Droid’ (vid4droid.com), która zaleca pobranie aplikacji “The new Sexvideo App”. Kliknięcie przycisku “Install” spowoduje przekierowanie użytkownika na stronę rozpoczynającą automatyczne pobieranie.
![](http://hack.srv61712.seohost.com.pl/wp-content/uploads/2012/08/klp_vidro_02.jpg)
Po instalacji trojan Vidro pojawia się na ekranie zainfekowanego urządzenia z Androidem.
![](http://hack.srv61712.seohost.com.pl/wp-content/uploads/2012/08/klp_vidro_03.jpg)
Zainfekowane urządzenie z systemem Android
Po uruchomieniu szkodnika użytkownik zobaczy okno, które będzie zachęcało go do zaakceptowania umowy, a nawet jeżeli faktycznie ona istnieje – nie ma możliwości jej przeczytania. Akceptacja warunków odbywa się poprzez wysłanie SMS-a na numer o podwyższonej opłacie – 72908 – o treści “PAY”, czyli zapłać. Cyberprzestępcy nie pozostawiają żadnych złudzeń co do swoich intencji – chcą zarobić pieniądze. Wysłanie każdej wiadomości kosztuje 2 zł, a są one wysyłane co 24 godziny.
Poza wysyłaniem SMS-ów na numery premium bez wiedzy użytkownika, trojan Vidro potrafi:
– uaktualniać swój plik konfiguracyjny (który może zawierać nowe numery premium do wysyłania SMS-ów) oraz własny kod;
– wysyłać informacje o swoim stanie oraz o zainfekowanym urządzeniu na zdalny serwer kontrolowany przez cyberprzestępców.
Źródło: Kaspersky Lab