|
Календарь мероприятий
апрель  2024
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | | | | | |
показать все 
Новости партнеров
Ассоциация разработчиков «Отечественный софт» отметила 15-летие
Читать далее
РДТЕХ представил Технологическую карту российского ПО 2023
Читать далее
RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool
Читать далее
На RIGF 2024 обсудили ключевые вопросы цифрового развития России
Читать далее
показать все
Статьи
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
Скоро некому будет делать сайты и заниматься версткой
Читать далее
Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?
Читать далее
Мотивируй, не то проиграешь!
Читать далее
В 2024 году в России и мире вырастут объемы применения AR/VR
Читать далее
Цифровые технологии: надежды и риски
Читать далее
Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?
Читать далее
Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства
Читать далее
показать все
|
Империя под угрозой. Вредоносное ПО для Android
Главная /
Архив номеров / 2011 / Выпуск №6 (9) / Империя под угрозой. Вредоносное ПО для Android
Рубрика:
Мобильные технологии
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
 Вячеслав Медведев, аналитик компании «Доктор Веб»
Империя под угрозой
Вредоносное ПО для Android
Хотя мобильная платформа Android базируется на ядре Linux и обладает механизмом обеспечения безопасности, для нее появляется все больше вредоносных программ. Одна из причин явления – широкое распространение этой ОС
Еще одна возможная причина роста количества угроз для Android – открытость исходных кодов этой операционной системы, благодаря чему любые обнаруженные в ней уязвимости быстро становятся достоянием широкой общественности. Дополнительную опасность создает и то, что, например, пользователи устройств на базе Android могут загружать приложения с различных площадок, это значительно повышает вероятность заражения. Владельцы iPhone, iPad и iPod – только из App Store.
«Горячая» семейка СМС-троянцев
Одно из первых упоминаний этого троянца относится к 4 августа 2010 года. Именно в тот день пользователь известного российского форума 4pda.ru/forum, посвященного мобильным телефонам, смартфонам и КПК, пожаловался на некую программу-видеоплеер, закачивающуюся с определенного сайта. В разрешениях к этой программе была указана работа с СМС, а точнее, их отправка – permission.SEND_SMS. На следующий день на том же форуме еще один пользователь сообщил об этом файле. Распространялся он с именем RU.apk. Файл имел иконку видеоплеера и носил соответствующее имя: MoviePlayer. Интересная деталь: дата создания файлов внутри пакета – 29 июля 2010 года. Получается, что троянец безнаказанно распространялся почти неделю.
Пользователи форума отправили подозрительный файл в антивирусные компании 5 августа. Тогда же Android.SmsSend.1 был добавлен в вирусные базы Dr.Web. Чуть позднее этот же вредоносный объект добавили в свои базы (под принятыми у себя наименованиями) и зарубежные производители антивирусов.
7 сентября 2010 года на известном сайте www.mobile-review.com в разделе, посвященном системе Android, вышла небольшая заметка от компании «Доктор Веб», повествующая уже о новой версии Android.SmsSend (см. рис. 1), которая отличалась изменившейся иконкой и названием пакета.
Рисунок 1. Новая версия Android.SmsSend
Новая модификация была добавлена в вирусные базы в тот же день, 7 сентября 2010 года, под именем Android.SmsSend.2. Как и при обнаружении Android.SmsSend.1, детектирование в зарубежных антивирусных продуктах появилось чуть позднее, что вполне логично, учитывая, что троянцы данного семейства нацелены на пользователей смартфонов в России.
14 октября 2010 года в СМИ появилась информация об обнаружении новой версии СМС-троянца. Ее создатели вернули первоначальную иконку плеера; имя распространяемого пакета было прежнее: pornoplayer.apk. Соответствующее обновление баз Dr.Web произошло еще 11 октября.
Этот троянец интересен способом проникновения на смартфоны жертв. Владельцы сайтов с контентом для взрослых (о сайтах других категорий пока ничего не известно) в рамках партнерской программы могу добавлять на свои страницы функцию загрузки троянца. Но хитрость заключается в том, что Android.SmsSend будет загружен только тогда, когда посещение сайта происходит с браузера мобильного устройства. В случае Android-смартфона при посещении такого сайта без согласия пользователя будет загружен СМС-троянец для ОС Android. Пользователь может ничего и не заметить, кроме быстро исчезающего системного сообщения о начале загрузки. В дальнейшем, случайно или из любопытства, владелец смартфона может установить программу, а пикантное название или невнимательность, в свою очередь, приведут к ее запуску. Если же зайти на такие сайты с другого мобильного устройства, например, обычного сотового телефона, то загружаться будет СМС-троянец, написанный на J2ME. Если на подобный сайт зайти с обычного компьютера, троянец не будет загружен, а браузер в большинстве случаев откроет искомый сайт или домашнюю страницу одного из известных поисковиков.
Если говорить о новейшей истории СМС-троянцев, стоит выделить вредоносную программу Android.Wukong (см. рис. 2). 17 июня 2011 года в вирусные базы Dr.Web были внесены описания четырех новых модификаций этого СМС-сендера (Android.Wukong 4-7). Он известен тем, что похищает средства со счетов пользователей ОС Android путем отправки платных СМС-сообщений. Вредоносная программа попадает на мобильное устройство в случае загрузки его владельцем одного из инфицированных приложений (они распространяются с нескольких китайских сайтов, в том числе с одного из крупнейших сборников ПО) и запускается в качестве фонового процесса. Затем троянец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут отправляет СМС-сообщения, начинающиеся со строки «YZHC». Помимо этого, вредоносная программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие СМС с информацией о приеме платежа оператором.
Рисунок 2. Android.Wukong
Справедливости ради стоит сказать, что иногда вирусописатели распространяют условно некоммерческие образцы СМС-сендеров. Примером может служить обнаруженный в мае этого года Android.NoWay.1, который, активизировавшись на мобильном устройстве, проверял дату, и, если это происходило 21 мая, рассылал по списку контактов СМС с фразами религиозного содержания. Именно в этот день по одной из многочисленных апокалипсических теорий должен был наступить конец света.
Из Китая «с любовью»
Особенность этой группы вредоносных программ – в происхождении и способе распространения. Речь идет об Android.Geinimi, Android.Spy и Android.ADRD (по классификации Dr.Web). Родина этих вредоносных программ – Китай, а известность они получили в конце 2010 года.
Эти троянцы распространяются под видом известных программ, игр и живых обоев. Среди этого перечня как популярное во всем мире, так и известное лишь в Китае ПО. В основном эти вредоносные программы распространяются на китайских форумах, сайтах, посвященных мобильным технологиям, а также на файлообменниках.
Схема заражения выглядит следующим образом: пользователь смартфона скачивает и устанавливает себе такую программу, запускает ее; внешне она работает так, как в принципе и должна: в игру можно играть, в программах нет никаких сбоев, функционал соответствует названию. Однако скрытно от пользователя вместе с основной программой запускается и ее троянская составляющая. В то время как пользователь беззаботно играет или пользуется программой, троянский сервис в фоновом режиме собирает информацию о его контактах и СМС, IMEI смартфона, а также данные сим-карты. Вся эта информация отправляется на сервер авторов троянца.
В функционал Android.Geinimi входит определение местоположения смартфона, загрузка файлов из Интернета (другие программы), считывание и запись закладок браузера, чтение контактов, совершение звонков, отправка, чтение и редактирование СМС, а также другие возможности. Даже если закрыть запущенную программу, троянский сервис продолжит свою работу в фоне.
Android.Spy, помимо чтения и записи контактов, отправки, чтения и редактирования СМС, определения координат и других возможностей, имеет функцию автозагрузки. Его действиями создатели могут управлять удаленно через СМС. Android.Spy также может загружаться при включении смартфона, но его цель несколько иная – сбор идентификационных данных смартфона, возможность задания определенных параметров поиска в поисковом движке, а также переход по ссылкам. Троянец может загружать свои обновления, но для установки все же необходимо участие пользователя.
Один из признаков того, что устанавливаемая программа содержит такого троянца, – дополнительные разрешения, которые требуются для работы. Например, если для игры в ее оригинальном виде нужен лишь доступ в Интернет, то в инфицированной версии количество привилегий будет намного выше.
Поэтому, если вам точно известно, что данная программа или игра не имеет функций работы с СМС, звонками, контактами и т.п., то мудрым решением будет не связываться с ней.
Нашей компании сегодня известны десятки модификаций Android.Spy, список постоянно расширяется. Одна из модификаций этого троянца – Android.Spy.54 – была обнаружена специалистами компании 12 апреля 2011 года на китайском интернет-ресурсе www.nduoa.com. Троянец был встроен в программу Paojiao – виджет, позволяющий совершать звонки или отсылать СМС на выбранные номера. Стоит добавить, что распространение в составе легитимных программ является стандартной моделью для вредоносных программ семейства Android.Spy.
Эта модификация Android.Spy регистрирует фоновый сервис, который соединяется с сайтом злоумышленников, отсылая им идентификационные данные жертвы (в частности, Международный идентификатор мобильного оборудования IMEI и индивидуальный номер абонента IMSI). Кроме того, троянец загружает xml-файл, содержащий команды для спам-рассылки СМС с телефона жертвы и добавления определенных сайтов в закладки браузера.
Из угроз, появившихся относительно недавно, стоит выделить также Android.Gongfu, которая была обнаружена специалистами «Доктор Веб» 6 июня 2011 года (сегодня в базе присутствуют пять модификаций этой вредоносной программы).
В ходе исследований выяснилось, что Android.Gongfu использует те же уязвимости, что и широко распространенный Android.DreamExploid, однако демонстрирует принципиально иной механизм действия. После запуска вредоносная программа повышает собственные права до привилегий root, а вслед за этим загружает другое приложение, которое добавляется в инфицированную систему в качестве фонового сервиса. По завершении загрузки ОС этот сервис запускается автоматически без участия пользователя и собирает идентификационную информацию о зараженном устройстве, включая версию ОС, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользователя. Далее сведения передаются злоумышленникам на удаленный сервер. Фактически данная вредоносная программа обладает функциями бэкдора, способного обрабатывать получаемые от удаленного сервера команды.
Полноценный бэкдор для Android
В апреле был зафиксирован первый полноценный бэкдор для Android, уже насчитывающий две известные модификации. Android.Crusewind (см. рис. 3) использует ряд новых приемов распространения и не встречавшуюся ранее нагрузку. Жертва получает сообщение, похожее на следующее: «Получены обновления настройки MMS/GPRS/EDGE. Для активации пройдите по ссылке: http://.../flash/MM329.apk». При переходе по указанной ссылке пользователь получает троянский APK – дистрибутивный пакет ОС Android (в этом формате хранятся дистрибутивы в магазине Android Market).
Рисунок 3. Android.Crusewind
После установки троянец скачивает со своего командного центра конфигурационный файл в формате XML. При этом вредоносная программа обладает достаточно серьезным набором функций. Например, она способна рассылать SMS-сообщения по команде с сервера.
«Шпионят потихоньку»
Помимо классических троянских программ, угрозу для пользователя смартфона на базе ОС Android представляют и коммерческие шпионские программы. В их возможности, в зависимости от компании-производителя, входит слежение за координатами владельца смартфона, прослушивание окружающей обстановки, чтение входящих и исходящих СМС, контроль звонков и т.п. «Легальная» идея, под которой они распространяются, – возможность контролировать, а также защищать детей, контроль подчиненных или проверка на верность своей «второй половины».
Наиболее известные коммерческие программы-шпионы – Flexispy (см. рис. 4), Mobile Spy и Mobistealth. Большинство производителей таких программ предлагает свои решения сразу для нескольких мобильных платформ: Symbian, Android, Blackberry, Windows Mobile, iPhone, iPad, Maemo (для iPhone и iPad необходимым условием для установки и работы является jailbreak-аппарата). Также в мае этого года было еще несколько подобных программ, в том числе Cell Phone Recon (по классификации Dr.Web – Android.Recon) и SpyDroid (занесена в базу Dr.Web как Android.SpyDroid).
Рисунок 4. Flexispy
Большинство таких программ продаются с подпиской на год. Цена зависит от функционала конкретной версии программы. Для установки «жучка» на мобильном устройстве предполагаемого объекта слежки необходим физический доступ к самому аппарату. Перед использованием программы ее необходимо правильно настроить, а также стереть все возможные следы того, что с устройством что-то происходило без ведома его владельца.
Почему шпионы остаются незамеченными в системе?
В первую очередь это обусловлено тем, что после установки большинство шпионских программ не имеет иконки на рабочем столе, а если и имеет, то с нейтральным названием. В случае запуска программы через эту иконку активируется специальная часть, призванная снять все подозрения: это могут быть простенькая игрушка, калькулятор и т.п. Если же пользователь посмотрит список установленных программ в системном меню, то шпион в большинстве случаев будет носить нейтральное имя или похожее на название какого-нибудь системного модуля.
Некоторые коммерческие и бесплатные шпионские программы присутствуют в официальном магазине приложений Android Market. Другие требуется скачивать с собственных сайтов непосредственно с целевого смартфона или же копировать на карту памяти. Все подобные программы-шпионы можно использовать как в легальных, так и нелегальных целях.
Угроза с тыла
В начале марта 2011 года в СМИ появилась информация о том, что в Android Market были найдены программы и игры, содержащие троянский функционал. В популярное ПО кем-то были добавлены троянские функции. Общее число таких приложений – около 50.
В возможности Android.DreamExploid – он и явился причиной данного заражения – входит сбор информации об устройстве, на котором он установлен, включая IMEI и абонентский номер, возможность подключения к Интернету для связи с авторами, но, самое главное, троянец устанавливал эксплойт, пытавшийся без ведома пользователя произвести повышение привилегий программного окружения смартфона. Вместо стандартных ограниченных возможностей пользователь получал систему с правами администратора. Кроме того, Android.DreamExploid имеет возможность загрузки программ из Интернета и их установки в обход пользователя (в случае удачной эксплуатации уязвимости).
Компания Google удалила из своего магазина приложений все известные версии программ с этим троянцем, а также произвела операцию удаленного изъятия (т. н. Kill Switch) установленных программ на смартфонах пользователей. Тем не менее, учитывая специфику Android Market, нельзя полностью исключать вероятность повторения подобных инцидентов – и вот уже в начале нынешнего лета интернет-магазин вновь «порадовал» своих пользователей.
9 июня специалистами компании «Доктор Веб» был добавлен в вирусные базы новый троянец для Android – Android.Plankton. Впервые эта угроза была выявлена в Лаборатории компьютерных исследований Университета Северной Каролины (Department of Computer Science, NC State University), сотрудник которой – доцент Ксаксиан Цзян (Xuxian Jiang, Assistant Professor) – любезно предоставил компании образцы инфицированного приложения (см. рис. 5).
Рисунок 5. Android.Plankton
Основная особенность данной угрозы в том, что вредоносный объект встроен в приложение Angry Birds Rio Unlock, открывающее доступ к скрытым уровням популярной для различных мобильных платформ игры Angry Birds. Только с Android Market инфицированная программа была загружена более 150 000 раз, а на альтернативных ресурсах (в частности, с известного сборника приложений для Android androidzoom.com) число скачиваний достигало 250 000.
Атака этого троянца выглядит следующим образом: непосредственно после запуска инфицированного приложения троянец загружает в фоновом режиме собственную службу, которая собирает информацию о зараженном устройстве (ID-устройства, версия SDK, сведения о привилегиях файла) и передает ее на удаленный сервер.
Затем вредоносная программа получает с сайта злоумышленников данные для последующей загрузки и установки на смартфон жертвы другого приложения, функционал которого, по предположениям аналитиков, может варьировать. Сегодня нам известно о нескольких видах такого вредоносного ПО. В частности, это пакеты plankton_v0.0.3.jar и plankton_v0.0.4.jar, предназначенные для выполнения на инфицированном устройстве получаемых от управляющего центра команд. Все известные модификации данного троянца добавлены в вирусные базы Dr.Web.
***
Анализ выявленных угроз показывает, что большинство вредоносных программ для Android встроены в легитимные приложения, распространяемые через популярные сайты, – сборники ПО и игр. Для реализации атак используются не только уязвимости операционной системы, но и невнимательность самих пользователей, назначающих устанавливаемому приложению слишком высокие привилегии. В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|
_cover.jpg)
