|
Календарь мероприятий
апрель  2026
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | | | |
показать все 
Новости партнеров
«Газинформсервис» представит ИБ-решения на выставке GITEX Africa 2026 в Королевстве Марокко
Читать далее
Группа «Борлас» вошла в топ-10 крупнейших интеграторов и поставщиков услуг поддержки решений 1С по версии TAdviser
Читать далее
Менее 10% компаний в РФ фиксируют экономический эффект от внедрения ИИ
Читать далее
Эксперт Т1: „Внедрять ИИ-агентов надо уже сегодня, даже если эффект пока небольшой
Читать далее
Компания РДТЕХ сообщила о назначении Глеба Желтова заместителем генерального директора компании
Читать далее
показать все
Статьи
Эволюция бизнес-процессов от ИИ-инструментов к мультиагентным командам
Читать далее
Время внедрения: ИИ в вашем бизнесе – эксперимент или реальная прибыль?
Читать далее
Ах, если бы сбылась моя мечта!
Читать далее
Как компьютеры понимают текст?
Читать далее
Как компьютеры понимают текст?
Читать далее
Точность до метра и сантиметра: как применяют технологии позиционирования
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась
Читать далее
Сладкая жизнь
Читать далее
12 бизнес-концепций, которыми должны овладеть ИТ-руководители
Читать далее
показать все
|
В Dr.Web Security Space для Android появилась возможность удаления руткитов
Главная / Новости партнеров / В Dr.Web Security Space для Android появилась возможность удаления руткитов
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Большинство известных Android-троянцев представляет собой относительно простые вредоносные приложения, которые успешно идентифицируют и удаляют не только антивирусы, но и сами пользователи, знакомые с базовыми правилами информационной безопасности. Однако в последнее время вирусные аналитики компании «Доктор Веб» фиксируют все больше вредоносных программ, пытающихся, в частности, получить на заражаемых мобильных устройствах root-привилегии и незаметно установить в системный каталог Android других троянцев, а также рекламное и прочее нежелательное ПО, которое в дальнейшем значительно сложнее обнаружить и удалить.
Один из базовых принципов обеспечения безопасности в ОС Android заключается в особенностях установки прикладного ПО на мобильные устройства. В частности, инсталляция происходит только после того, как пользователь ознакомится с информацией о той или иной программе (включая функции, к которым она будет иметь доступ) и даст окончательное согласие на ее установку. В этой связи вовсе не удивительно, что для обхода данного ограничения некоторые вирусописатели стали снабжать своих троянцев различными root-эксплойтами, дающими неограниченные полномочия на атакуемых смартфонах и планшетах. В результате уже в 2011 году появились вредоносные Android-приложения, которые при помощи различных программных уязвимостей пытались получить системные привилегии, после чего могли устанавливать и удалять ПО без участия пользователя. В частности, к таким троянцам относятся Android.DreamExploid и Android.Gongfu, распространявшиеся в модифицированных вирусописателями программах.
Тем не менее, атаки с применением подобных вредоносных приложений на протяжении длительного времени были достаточно редкими, т. к. подавляющее большинство вирусописателей все же предпочитало использовать вредоносное ПО «попроще». Однако в 2015 году вирусные аналитики компании «Доктор Веб» наблюдают новый всплеск интереса к root-троянцам. При этом если раньше злоумышленники стремились с их помощью лишь незаметно установить как можно больше приложений, чтобы получить от партнерских программ прибыль за каждую успешную инсталляцию, то теперь все чаще они пытаются внедрить вредоносное или нежелательное ПО непосредственно в системный каталог Android. Фактически, киберпреступники хотят заразить мобильные устройства руткитами, которые остаются скрытыми в системе и продолжают свою работу даже если установившую их вредоносную программу позднее найдут и удалят.
Попадая в системную область ОС, подобные троянцы получают расширенные функциональные полномочия и предоставляют злоумышленникам полный контроль над зараженными устройствами, а также неограниченный доступ к хранящейся на них информации. При этом обнаружение таких приложений, еще не известных специалистам по информационной безопасности, значительно усложняется и может потребовать гораздо больше времени по сравнению с идентификацией «обычного» вредоносного ПО для Android.
Но даже после успешного обнаружения Android-руткитов в системном каталоге попытка их удаления сопряжена с определенным риском. Так, в некоторых случаях подобные вредоносные приложения значительно модифицируют программное окружение ОС (например, могут заменить собой оригинальное приложение, необходимое для нормальной работы устройства), в результате чего их деинсталляция способна привести к неработоспособности зараженного смартфона или планшета. Однако даже в таких случаях зараженное мобильное устройство относительно легко вернуть к жизни: для этого достаточно переустановить заводскую прошивку. Тем не менее, некоторые антивирусные компании заявляют, что удаление троянцев, попавших в системную область Android в результате получения root-полномочий, практически невозможно, и пользователям стоит задуматься о замене мобильного устройства.
В действительности же успешная борьба с Android-руткитами вполне осуществима. Так, специалисты компании «Доктор Веб» тщательно анализируют каждое подобное вредоносное приложение и внимательно изучают все случаи их обнаружения в системном каталоге различных мобильных устройств. После того как вирусные аналитики убедятся, что удаление того или иного троянца не приведет к поломке Android-устройства, соответствующий алгоритм лечения вносится в вирусную базу Dr.Web Security Space для Android. Несмотря на то, что это весьма трудоемкий и длительный процесс, с каждым днем число успешно удаляемых из системной области ОС Android троянцев увеличивается. Т. к. обновление программы с соответствующем функционалом было выпущено 19 октября, наши пользователи уже почти месяц могут успешно бороться с сотнями различных модификаций Android-руткитов, которые скрываются в системном каталоге. Для этого антивирусу достаточно предоставить root-полномочия, после чего он сможет уничтожить обнаруженные вредоносные приложения.
Среди обнаруженных в 2015 году вредоносных приложений, пытающихся получить root-полномочия на Android-устройствах и незаметно установить вредоносное ПО в системную директорию, прежде всего стоит отметить троянцев семействаAndroid.Toorch, о которых стало известно в апреле. Один из них был замаскирован под программу-фонарик и распространялся вирусописателями через популярные в Китае сайты – сборники ПО, а также при помощи агрессивных рекламных модулей, интегрированных в различные приложения. После запуска на целевых мобильных устройствах он пытался повысить свои системные привилегии до уровня root, незаметно устанавливал в системный каталог /system/app один их своих компонентов, а также запускал на исполнение еще один вредоносный модуль. После этого по команде злоумышленников вредоносное приложение могло загружать, устанавливать и удалять указанные ими программы без ведома пользователя.
Другая вредоносная программа, пытавшаяся получить root-доступ на заражаемых устройствах, была внесена в вирусную базу Dr.Web какAndroid.Backdoor.176.origin. Этот троянец распространялся вирусописателями в модифицированных ими изначально безобидных играх и приложениях. При первом запуске Android.Backdoor.176.origin передает на управляющий сервер подробную информацию о зараженном устройстве, после чего регистрирует несколько перехватчиков системных событий, контролируя, в частности, загрузку ОС, взаимодействие пользователя с экраном, запуск приложений и т. п. При следующем включении инфицированного смартфона или планшета вредоносная программа загружает из Интернета модифицированную версию утилиты Root Master и с ее помощью пытается получить root-доступ в системе. В случае успеха троянец копирует в системный каталог /system/xbin два исполняетмых elf-файла с именами .rt_bridge (Android.Rootkit.1) и .rt_daemon (Android.Rootkit.2), которые представляют собой аналог утилиты su, позволяющей пользователям работать от имени root (администратора) в UNIX-подобных операционных системах.
После запуска Android.Rootkit.1 проверяет, был ли он активизирован одним из процессов троянца Android.Backdoor.176.origin, и, если это так, запускает root-терминал. Затем Android.Backdoor.176.origin загружает из Интернета утилиту chattr и с ее помощью через запущенный ранее терминал устанавливает на собственный apk-файл атрибуты «неизменяемый» и «только добавление к файлу». В результате, даже если пользователь деинсталлирует троянца, после перезагрузки ОС Android.Backdoor.176.origin будет автоматически установлен вновь, и мобильное устройство останется зараженным.
Основное предназначение данной вредоносной программы – незаметная установка и удаление приложений по команде с управляющего сервера. Однако помимо этого троянец передает злоумышленникам подробные сведения о зараженном смартфоне или планшете, отслеживает количество входящих и исходящих вызовов, а также отправленных и принятых СМС-сообщений.
Чуть позднее была обнаружена новая модификация данной вредоносной программы, которая получила имя Android.Backdoor.196.origin. Как и первая версия троянца, она распространяется в модифицированных вирусописателями безобидных играх и приложениях и после запуска аналогичным образом пытается получить root-привилегии, а также защитить себя от деинсталляции. После этогоAndroid.Backdoor.196.origin при помощи метода DexClassLoader запускает свой второй компонент, который, в зависимости от модификации троянца, предварительно загружается с сервера злоумышленников, либо копируется и расшифровывается из ресурсов самой вредоносной программы. В дальнейшем данный модуль, детектируемый Антивирусом Dr.Web для Android как Adware.Xinyin.1.origin, выполняет все вредоносные функции, необходимые злоумышленникам. В частности, он может незаметно загружать и устанавливать различные программы, отправлять СМС-сообщения, отслеживать количество совершенных и принятых звонков, а также полученных и отправленных СМС.
Позже специалисты по информационной безопасности обнаружили еще несколько вредоносных программ, которые пытались получить root-доступ и представляли серьезную опасность для пользователей. Одна из них –Android.Backdoor.273.origin. Этот троянец распространялся в каталоге Google Play под видом безобидного приложения с именем Brain Test и имел ряд интересных особенностей. В частности, перед тем как начать вредоносную деятельность, он проверял IP-адрес домена, через который в данный момент осуществлялось сетевое подключение на целевом мобильном устройстве, и в случае обнаружения соответствия адресам компании Google завершал свою работу. Таким образом злоумышленники пытались обойти антивирусный фильтр каталога Google Play, чтобы успешно разместить в нем троянца. Если вредоносная программа определяла, что ее работе ничто не мешает, она подключалась к управляющему серверу, откуда поочередно скачивала и пыталась выполнить несколько эксплойтов, предназначенных для получения root-доступа на Android-устройствах. Затем в случае успешного повышения системных полномочий троянец загружал с сервера второй вредоносный компонент, который незаметно устанавливался в системный каталог и в дальнейшем по команде злоумышленников мог загружать и скрытно инсталлировать другие программы. А чтобы Android.Backdoor.273.originкак можно дольше оставался на зараженном мобильном устройстве, он устанавливал в системную директорию еще два дополнительных вредоносных приложения, которые следили за тем, чтобы сам троянец, а также его модули не были удалены пользователем. Если какие-либо компонентыAndroid.Backdoor.273.origin все же деинсталлировалась, данные модули повторно загружали их и устанавливали вновь.
 
Не меньшую опасность для владельцев Android-смартфонов и планшетов представляет и троянец Android.DownLoader.244.origin. Как и многие вредоносные Android-приложения, он распространялся через популярные сайты – сборники ПО в модифицированных киберпреступниками изначально безопасных программах и играх. После запуска содержащей троянца программыAndroid.DownLoader.244.origin запрашивает у пользователя доступ к специальным возможностям ОС (Accessibility Service). Если потенциальная жертва согласится предоставить ей необходимые права, вредоносная программа сможет контролировать все события, происходящие на устройстве, а также получит возможность незаметно устанавливать приложения, имитируя действия пользователя и самостоятельно нажимая на кнопки в соответствующих диалоговых окнах, которые будут возникать при попытке инсталляции заданного злоумышленниками ПО. Затем троянец пытается получить на зараженном устройстве root-доступ, после чего по команде с управляющего сервера может загружать и незаметно устанавливать в системный каталог различные программы.
Однако Android-троянцы, получающие root-доступ на заражаемых мобильных устройствах и устанавливающие вредоносное ПО в системный каталог, – не единственная угроза для пользователей. Не меньшую опасность представляют и вредоносные приложения, которые не получают права root самостоятельно, но активно используют их своих целях, если они уже присутствуют в системе. Например, троянец Android.DownLoader.171.origin, который скрывался в приложении с именем KKBrowser и распространялся злоумышленниками через каталог приложений Google Play и другие ресурсы, был установлен не менее чем 1 500 000 пользователями. По команде своих «хозяев» троянец мог загружать, устанавливать и удалять различные программы. В случае если целевые устройства имели root-доступ, Android.DownLoader.171.origin выполнял эти действия незаметно для пользователей, в противном же случае жертвам демонстрировался стандартный системный запрос.
Чтобы обезопасить мобильные Android-устройства от троянцев, которые пытаются получить root-доступ и установить вредоносное ПО в системный каталог, владельцам смартфонов и планшетов необходимо использовать для загрузки приложений только проверенные источники. Также не следует устанавливать ПО, вызывающее хотя бы малейшие подозрения. Кроме того, для защиты от вредоносных, нежелательных и потенциально опасных программ для ОС Android рекомендуется использовать надежный антивирус, способный не только предупредить, но и устранить заражение. В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|
_cover_small.jpg)
