Обнаружен первый TOR троянец под Android

Эксперт «Лаборатории Касперского» обнаружил первый TOR троянец под Android. Это первый Android-троян, который в качестве C&C использует домен в псевдо-зоне .onion. Вирусописатели, создающие Android-троянцев, традиционно используют в качестве образца функционал Windows зловредов. Таким образом, этот троян использует анонимную сеть Tor, построенную на сети прокси-серверов. Кроме обеспечения анонимности пользователя, Tor позволяет размещать в доменной зоне .onion «анонимные» сайты, доступные только в Tor.

Backdoor.AndroidOS.Torec.a представляет собой изменённый популярный Tor-клиент Orbot. Вирусмейкеры добавили свой код в это приложение, причем троянец не выдает себя за Orbot, он просто использует функционал этого клиента.

AndroidOS Torec может получать с С&C целый ряд команд: начать/закончить перехват входящих SMS; начать/закончить кражу входящих SMS; сделать USSD запрос; отправить на C&C данные о телефоне; отправить на C&C список установленных приложений; отправить SMS на номер, указанный в команде и т.д.

Использование TOR имеет свои плюсы и минусы. Среди плюсов то, что такой C&C невозможно закрыть. К минусам же стоит отнести необходимость дополнительного кода. Для того, чтобы Backdoor.AndroidOS.Torec.a мог использовать Tor, потребовалось гораздо больше кода, чем для его собственного функционала.