Исследователи компании Symantec обнаружили новый троянский код под Android, использующий технологию «серверного полиморфизма», то есть троянец модифицирует программный код каждый раз, когда он скачивается, что позволяет избежать обнаружения антивирусными программами. В Symantec сообщают, что ранее эта технология уже использовалась вредоносным ПО для ПК, теперь она оптимизирована и для мобильных телефонов.

Модификация кода осуществляется на сервере распространения вируса. Данный механизм отличается от локального полиморфизма тем, что код модифицируется каждый раз при запуске программы.

В Symantec сообщили об обнаружении нескольких вариантов данного троянца. Представители компании присвоили всем вариантам новой вредоносной программы название Android.Opfake. Все они распространяются с серверов, расположенных в России и содержат в себе инструкции для автоматической отправки SMS-сообщений на премиальные короткие номера в нескольких странах СНГ, Европы, а также Австралии и Тайваня.

Как сообщают в Symantec, многие мобильные антивирусы на сегодняшний день полагаются на статистические сигнатуры и обнаружение постоянно модифицируемых кодов представляет сложность для таких решений. Еще сложнее обнаружить код если модифицируется больше чем половина кода троянца. В этом случае код возможно детектировать только поведенческим механизмом.

«Если производитель антивирусного решения берет за основу детектирования немодифицируемую часть троянца, то с обнаружением проблем не должно возникнуть. Однако в сегодняшнем случае у троянца модифицируется и исполняемая часть», - сообщил антивирусный специалист «Лаборатории Касперского» Тим Армстронг (Tim Armstrong) и добавил, что в перспективе на базе полиморфных технологий будет создаваться все больше вредоносных программ.