Обзор недавно обнаруженного вредоносного ПО для Android

Несмотря на активные попытки Google и OEM-производителей улучшить ситуацию с безопасностью Android, открытый характер ОС вкупе с любопытством и/или нежеланием пользователей платить за приложения продолжает вставлять им палки в колеса. Причем авторы подобных приложений не стоят на месте, придумывая новые схемы вовлечения ничего не подозревающих пользователей в свой план по обогащению/получению необходимой информации или ресурсов. Врага нужно знать в лицо и уметь с ним бороться, благо способы существуют и они совсем не сложные. Итак, знакомимся/вспоминаем.

GhostPush, Shedun, Kemoge и Shuanet

Речь пойдет о семействе вредоносного программного обеспечения из четырех представителей, объединенных практически идентичным программным кодом, схожим воздействием на устройства и используемыми эксплойтами (Memexploit, Framaroot, ExynosAbuse). По данным Lookout, за пределами Google Play насчитывается до 20 000 зараженных приложений, от которых преимущественно страдают пользователи в Германии, Иране, России, Индии, Ямайке, Судане и Бразилии.

GhostPush, Shedun, Kemoge и Shuanet

Открытый в сентябре прошлого года компанией Cheetah Mobile новый тип вредоносного ПО благодаря своей способности быстро и незаметно распространяться по устройствам был назван GhostPush (ghost — призрак). Заражению подверглись порядка 900 000 смартфонов и планшетов на базе Android по всему миру, что нельзя назвать частным случаем. Троянец внешне маскируется под популярные программы (Calculator, Smart Touch, Assistive Touch, Talking Tom 3, Easy Locker, Privacy Lock и др.) и, проходя защиту, может попасть даже в Google Play или Amazon Store. Попадая на устройство, GhostPush получает полный контроль над устройством на уровне root-доступа. После этого хакеры могут без ведома владельца устанавливать на устройство рекламные приложения, причем совсем не бесплатные: по данным Cheetah Mobile, доход от подобной схемы мог составлять до четырех миллионов долларов в день.

GhostPush, Shedun, Kemoge и Shuanet

Что примечательно, GhostPush (как и два следующих типа вредоносного ПО) невозможно удалить с устройства, не помогает даже полный сброс до заводских настроек. Так что владельцу зараженного устройства светит лишь покупка нового. Впрочем, не всё так мрачно: «первооткрыватели» GhostPush выложили в Google Play приложение, которое предупреждает пользователя о возможной угрозе при скачивании зараженного приложения. Мы еще вернемся к способам защиты от подобного вредоносного ПО.

GhostPush, Shedun, Kemoge и Shuanet

Shedun во многом похож на предыдущий тип ПО: тот же скрытый характер распространения, аналогичный доступ к системным функциям устройства. Однако, этот тип вредоносного софта отличается более тонким подходом к обману пользователя: он не только скачивает ненужные пользователю приложения, но и устанавливает их с получением доступа к специальным возможностям — ряду настроек для альтернативных способов управления устройством. Shedun использует преимущества этой стандартной функции, а не её уязвимость. Получив доступ к специальным возможностям, Shedun сможет считывать появляющийся на экране текст, определять, что на нём отобразилось предложение установить ПО, прокручивать список разрешений и соглашаться на установку без участия пользователя. Тем самым, гарантируется установка и исполнение рекламируемых приложений, что в свою очередь увеличивает прибыль мошенников. Подобный класс вредоносного ПО быстро развивается и не оставляет пользователю никакого выбора, заставляя его насильно пользоваться тем или иным приложением и способствовать обогащению кибер-преступников.

Shuanet также во многом похож на предыдущие версии троянцев, за исключением того, что в отдельных случаях он оставляет оригинальные приложения невредимыми и вполне рабочими, затрудняя обнаружение. Маскируется эта разновидность под клиенты популярных мессенджеров и социальных сетей, а также игру Candy Crush. После установки Shuanet, как и уже упомянутые троянцы, автоматические получает права суперпользователя, скачивает нужное ПО и переносит скачанное зловредное приложение в системный раздел, препятствуя его удалению. Shuanet не встречается в Google Play, но, тем не менее, нужно следить за тем, что вы устанавливаете на своё устройство.

Android-трояны

Пожалуй, больше всего шума из этой «семейки» наделал Kemoge, также известный как ShiftyBug. В его основе всё та же идея: рекламное приложение. замаскированное под один из популярных продуктов, получение root-доступа, управление устройством с целью обогащения. Kemoge использует для своих целей 8 эксплойтов, которые направлены на взлом защиты и большинство которых атакует устройства Samsung. Вредоносное ПО работает даже на устройствах с root-доступом и зачастую избегает обнаружения, варьируя время обращения к серверу aps.kemoge.net, в честь которого оно и было названо. После активации на устройстве, ПО собирает информацию о нём (IMEI, IMSI, память, установленные приложения) и отправляет её на сервер с рекламой и впоследствии вне зависимости от текущей активности пользователь будет видеть на устройстве надоедливую рекламу. Также, после сбора и отправки информации устройство с Kemoge получает в ответ с сервера ссылки на скачивание рекламных приложений и команды на удаление оригинальных приложений и наполнение устройства вредоносным кодом. Засчет него Kemoge способен выдавать фишинговые страницы в процессе оплаты чего-либо посредством банковской карты, воруя реквизиты и получая доступ к карте. Данный «вредитель» может затронуть сравнительно больше устройств в более, чем двадцати странах мира.

Подводя итог обзору этого семейства вредоносного ПО, необходимо остановиться на правилах, которым должен следовать пользователь во избежание заражения устройства одним из троянцев:

  • не переходить по подозрительным ссылкам в электронной почте, текстовых сообщениях, на веб-сайтах и рекламных баннерах;
  • не устанавливать и запретить автоматическую установку сторонних приложений;
  • следить за тем, что бы устройство было обновлено до актуальной официальной версии прошивки — обновления закрывают известные уязвимости, хоть и не гарантируют стопроцентную защиту;
  • в некоторых случаях рекомендуется постоянное использование VPN.

Mazar Bot

В контексте темы материала нельзя не упомянуть обнаруженный примерно в то же время, что и GhostPush новый тип «malware» под названием Mazar Bot. Распространение происходит менее изощренным способом — ссылкой в SMS / MMS сообщениях. Переход по ссылке ведёт к скачиванию приложения, через которое впоследствии и происходит атака. Приложение соединяется с сервером и отправляет SMS на иранский номер с целью передать местоположение устройства. Получив доступ к смартфону, злоумышленники могут контролировать устройство по собственному желанию, отправлять сообщения на премиум-номера, читать входящие сообщения (в т.ч. и коды аутентификации платежей) и прерывать звонки. Но это еще не всё. Используя прокси-протокол Polipo, преступники могут осуществлять так называемые атаки посредника (компрометация канала связи с подменой сообщений одного или обоих корреспондентов без их ведома). Вдобавок ко всему, Mazar Bot способен встраивать свой код в Chrome, контролировать клавиши устройства, активировать спящий режим и изменять параметры в настройках.

Код Mazar Bot чрезвычайно сложно определить антивирусом (3/54 по версии VirusTotal). Этот факт вкупе с выбором способов атаки на устройства обусловил популярность ПО, о чем свидетельствует продажа соответствующего кода на нескольких сайтах в даркнете. Тем не менее, у Mazar Bot есть странная особенность: ПО проверяет региональную принадлежность устройства и отменяет запуск приложения, если устройство имеет российское «происхождение». Что ж, можно не опасаться, но напрашиваются определенные мысли. Методы защиты от Mazar Bot аналогичны вышеупомянутым.

Elir: Кибер-преступность постепенно переходит на новый уровень взаимодействия с потенциальными жертвами, и нам, как пользователям, необходимо четко понимать, как себя вести в сети, чего не стоит делать и куда не стоит заглядывать, знать врагов в лицо. И если в сценарии «злобной семейки» можно посочувствовать пользователям, то случай с Mazar Bot вызвал вполне резонный вопрос: неужели люди до сих пор используют MMS? Да, популярные мессенджеры не отличаются стопроцентной защитой частной информации, но хотя бы есть шанс, что они не пропустят подобные вредоносные ссылки. Повторю высказанную в одном из выпусков мысль: наша безопасность в сети является следствием наших действий, которые могут быть не всегда правильными и адекватными. Будьте внимательны и следуйте простым правилам.

Elir mobile-review.com

  • Den

    Типичная статья, где напущено много страшного тумана с минимумом действительно важной информации. Реальной помощи, кроме однотипных советов, кочующих от одной такой статьи к другой — «не запускать», «не открывать», «обновлять до актуальной», никакой дополнительной полезной информации нет.

    • Ну да, согласен, по большому счету — везде одно и то же.