Империя под угрозой. Вредоносное ПО для Android::Журнал СА 7-8.2011
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora

ЭКСПЕРТНАЯ СЕССИЯ 2019


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 1826
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 1887
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1446
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1066
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1636
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Империя под угрозой. Вредоносное ПО для Android

Архив номеров / 2011 / Выпуск №7-8 (104-105) / Империя под угрозой. Вредоносное ПО для Android

Рубрика: БИТ. Бизнес & Информационные технологии /  Мобильные технологии

Вячеслав Медведев ВЯЧЕСЛАВ МЕДВЕДЕВ, аналитик компании «Доктор Веб»

Империя под угрозой
Вредоносное ПО для Android

Хотя мобильная платформа Android базируется на ядре Linux и обладает механизмом обеспечения безопасности, для нее появляется все больше вредоносных программ. Одна из причин явления – широкое распространение этой ОС

Еще одна возможная причина роста количества угроз для Android – открытость исходных кодов этой операционной системы, благодаря чему любые обнаруженные в ней уязвимости быстро становятся достоянием широкой общественности. Дополнительную опасность создает и то, что, например, пользователи устройств на базе Android могут загружать приложения с различных площадок, это значительно повышает вероятность заражения. Владельцы iPhone, iPad и iPod – только из App Store.

«Горячая» семейка СМС-троянцев

Одно из первых упоминаний этого троянца относится к 4 августа 2010 года. Именно в тот день пользователь известного российского форума 4pda.ru/forum, посвященного мобильным телефонам, смартфонам и КПК, пожаловался на некую программу-видеоплеер, закачивающуюся с определенного сайта. В разрешениях к этой программе была указана работа с СМС, а точнее, их отправка – permission.SEND_SMS. На следующий день на том же форуме еще один пользователь сообщил об этом файле. Распространялся он с именем RU.apk. Файл имел иконку видеоплеера и носил соответствующее имя: MoviePlayer. Интересная деталь: дата создания файлов внутри пакета – 29 июля 2010 года. Получается, что троянец безнаказанно распространялся почти неделю.

Пользователи форума отправили подозрительный файл в антивирусные компании 5 августа. Тогда же Android.SmsSend.1 был добавлен в вирусные базы Dr.Web. Чуть позднее этот же вредоносный объект добавили в свои базы (под принятыми у себя наименованиями) и зарубежные производители антивирусов.

7 сентября 2010 года на известном сайте www.mobile-review.com в разделе, посвященном системе Android, вышла небольшая заметка от компании «Доктор Веб», повествующая уже о новой версии Android.SmsSend (см. рис. 1), которая отличалась изменившейся иконкой и названием пакета.

Рисунок 1. Новая версия Android.SmsSend

Рисунок 1. Новая версия Android.SmsSend

Новая модификация была добавлена в вирусные базы в тот же день, 7 сентября 2010 года, под именем Android.SmsSend.2. Как и при обнаружении Android.SmsSend.1, детектирование в зарубежных антивирусных продуктах появилось чуть позднее, что вполне логично, учитывая, что троянцы данного семейства нацелены на пользователей смартфонов в России.

14 октября 2010 года в СМИ появилась информация об обнаружении новой версии СМС-троянца. Ее создатели вернули первоначальную иконку плеера; имя распространяемого пакета было прежнее: pornoplayer.apk. Соответствующее обновление баз Dr.Web произошло еще 11 октября.

Этот троянец интересен способом проникновения на смартфоны жертв. Владельцы сайтов с контентом для взрослых (о сайтах других категорий пока ничего не известно) в рамках партнерской программы могу добавлять на свои страницы функцию загрузки троянца. Но хитрость заключается в том, что Android.SmsSend будет загружен только тогда, когда посещение сайта происходит с браузера мобильного устройства. В случае Android-смартфона при посещении такого сайта без согласия пользователя будет загружен СМС-троянец для ОС Android. Пользователь может ничего и не заметить, кроме быстро исчезающего системного сообщения о начале загрузки. В дальнейшем, случайно или из любопытства, владелец смартфона может установить программу, а пикантное название или невнимательность, в свою очередь, приведут к ее запуску. Если же зайти на такие сайты с другого мобильного устройства, например, обычного сотового телефона, то загружаться будет СМС-троянец, написанный на J2ME. Если на подобный сайт зайти с обычного компьютера, троянец не будет загружен, а браузер в большинстве случаев откроет искомый сайт или домашнюю страницу одного из известных поисковиков.

Если говорить о новейшей истории СМС-троянцев, стоит выделить вредоносную программу Android.Wukong (см. рис. 2). 17 июня 2011 года в вирусные базы Dr.Web были внесены описания четырех новых модификаций этого СМС-сендера (Android.Wukong 4-7). Он известен тем, что похищает средства со счетов пользователей ОС Android путем отправки платных СМС-сообщений. Вредоносная программа попадает на мобильное устройство в случае загрузки его владельцем одного из инфицированных приложений (они распространяются с нескольких китайских сайтов, в том числе с одного из крупнейших сборников ПО) и запускается в качестве фонового процесса. Затем троянец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут отправляет СМС-сообщения, начинающиеся со строки «YZHC». Помимо этого, вредоносная программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие СМС с информацией о приеме платежа оператором.

Рисунок 2. Android.Wukong

Рисунок 2. Android.Wukong

Справедливости ради стоит сказать, что иногда вирусописатели распространяют условно некоммерческие образцы СМС-сендеров. Примером может служить обнаруженный в мае этого года Android.NoWay.1, который, активизировавшись на мобильном устройстве, проверял дату, и, если это происходило 21 мая, рассылал по списку контактов СМС с фразами религиозного содержания. Именно в этот день по одной из многочисленных апокалипсических теорий должен был наступить конец света.

Из Китая «с любовью»

Особенность этой группы вредоносных программ – в происхождении и способе распространения. Речь идет об Android.Geinimi, Android.Spy и Android.ADRD (по классификации Dr.Web). Родина этих вредоносных программ – Китай, а известность они получили в конце 2010 года.

Эти троянцы распространяются под видом известных программ, игр и живых обоев. Среди этого перечня как популярное во всем мире, так и известное лишь в Китае ПО. В основном эти вредоносные программы распространяются на китайских форумах, сайтах, посвященных мобильным технологиям, а также на файлообменниках.

Схема заражения выглядит следующим образом: пользователь смартфона скачивает и устанавливает себе такую программу, запускает ее; внешне она работает так, как в принципе и должна: в игру можно играть, в программах нет никаких сбоев, функционал соответствует названию. Однако скрытно от пользователя вместе с основной программой запускается и ее троянская составляющая. В то время как пользователь беззаботно играет или пользуется программой, троянский сервис в фоновом режиме собирает информацию о его контактах и СМС, IMEI смартфона, а также данные сим-карты. Вся эта информация отправляется на сервер авторов троянца.

В функционал Android.Geinimi входит определение местоположения смартфона, загрузка файлов из Интернета (другие программы), считывание и запись закладок браузера, чтение контактов, совершение звонков, отправка, чтение и редактирование СМС, а также другие возможности. Даже если закрыть запущенную программу, троянский сервис продолжит свою работу в фоне.

Android.Spy, помимо чтения и записи контактов, отправки, чтения и редактирования СМС, определения координат и других возможностей, имеет функцию автозагрузки. Его действиями создатели могут управлять удаленно через СМС. Android.Spy также может загружаться при включении смартфона, но его цель несколько иная – сбор идентификационных данных смартфона, возможность задания определенных параметров поиска в поисковом движке, а также переход по ссылкам. Троянец может загружать свои обновления, но для установки все же необходимо участие пользователя.

Один из признаков того, что устанавливаемая программа содержит такого троянца, – дополнительные разрешения, которые требуются для работы. Например, если для игры в ее оригинальном виде нужен лишь доступ в Интернет, то в инфицированной версии количество привилегий будет намного выше.

Поэтому, если вам точно известно, что данная программа или игра не имеет функций работы с СМС, звонками, контактами и т.п., то мудрым решением будет не связываться с ней.

Нашей компании сегодня известны десятки модификаций Android.Spy, список постоянно расширяется. Одна из модификаций этого троянца – Android.Spy.54 – была обнаружена специалистами компании 12 апреля 2011 года на китайском интернет-ресурсе www.nduoa.com. Троянец был встроен в программу Paojiao – виджет, позволяющий совершать звонки или отсылать СМС на выбранные номера. Стоит добавить, что распространение в составе легитимных программ является стандартной моделью для вредоносных программ семейства Android.Spy.

Эта модификация Android.Spy регистрирует фоновый сервис, который соединяется с сайтом злоумышленников, отсылая им идентификационные данные жертвы (в частности, Международный идентификатор мобильного оборудования IMEI и индивидуальный номер абонента IMSI). Кроме того, троянец загружает xml-файл, содержащий команды для спам-рассылки СМС с телефона жертвы и добавления определенных сайтов в закладки браузера.

Из угроз, появившихся относительно недавно, стоит выделить также Android.Gongfu, которая была обнаружена специалистами «Доктор Веб» 6 июня 2011 года (сегодня в базе присутствуют пять модификаций этой вредоносной программы).

В ходе исследований выяснилось, что Android.Gongfu использует те же уязвимости, что и широко распространенный Android.DreamExploid, однако демонстрирует принципиально иной механизм действия. После запуска вредоносная программа повышает собственные права до привилегий root, а вслед за этим загружает другое приложение, которое добавляется в инфицированную систему в качестве фонового сервиса. По завершении загрузки ОС этот сервис запускается автоматически без участия пользователя и собирает идентификационную информацию о зараженном устройстве, включая версию ОС, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользователя. Далее сведения передаются злоумышленникам на удаленный сервер. Фактически данная вредоносная программа обладает функциями бэкдора, способного обрабатывать получаемые от удаленного сервера команды.

Полноценный бэкдор для Android

В апреле был зафиксирован первый полноценный бэкдор для Android, уже насчитывающий две известные модификации. Android.Crusewind (см. рис. 3) использует ряд новых приемов распространения и не встречавшуюся ранее нагрузку. Жертва получает сообщение, похожее на следующее: «Получены обновления настройки MMS/GPRS/EDGE. Для активации пройдите по ссылке: http://.../flash/MM329.apk». При переходе по указанной ссылке пользователь получает троянский APK – дистрибутивный пакет ОС Android (в этом формате хранятся дистрибутивы в магазине Android Market).

Рисунок 3. Android.Crusewind

Рисунок 3. Android.Crusewind

После установки троянец скачивает со своего командного центра конфигурационный файл в формате XML. При этом вредоносная программа обладает достаточно серьезным набором функций. Например, она способна рассылать SMS-сообщения по команде с сервера.

«Шпионят потихоньку»

Помимо классических троянских программ, угрозу для пользователя смартфона на базе ОС Android представляют и коммерческие шпионские программы. В их возможности, в зависимости от компании-производителя, входит слежение за координатами владельца смартфона, прослушивание окружающей обстановки, чтение входящих и исходящих СМС, контроль звонков и т.п. «Легальная» идея, под которой они распространяются, – возможность контролировать, а также защищать детей, контроль подчиненных или проверка на верность своей «второй половины».

Наиболее известные коммерческие программы-шпионы – Flexispy (см. рис. 4), Mobile Spy и Mobistealth. Большинство производителей таких программ предлагает свои решения сразу для нескольких мобильных платформ: Symbian, Android, Blackberry, Windows Mobile, iPhone, iPad, Maemo (для iPhone и iPad необходимым условием для установки и работы является jailbreak-аппарата). Также в мае этого года было еще несколько подобных программ, в том числе Cell Phone Recon (по классификации Dr.Web – Android.Recon) и SpyDroid (занесена в базу Dr.Web как Android.SpyDroid).

Рисунок 4. Flexispy

Рисунок 4. Flexispy

Большинство таких программ продаются с подпиской на год. Цена зависит от функционала конкретной версии программы. Для установки «жучка» на мобильном устройстве предполагаемого объекта слежки необходим физический доступ к самому аппарату. Перед использованием программы ее необходимо правильно настроить, а также стереть все возможные следы того, что с устройством что-то происходило без ведома его владельца.

Почему шпионы остаются незамеченными в системе?

В первую очередь это обусловлено тем, что после установки большинство шпионских программ не имеет иконки на рабочем столе, а если и имеет, то с нейтральным названием. В случае запуска программы через эту иконку активируется специальная часть, призванная снять все подозрения: это могут быть простенькая игрушка, калькулятор и т.п. Если же пользователь посмотрит список установленных программ в системном меню, то шпион в большинстве случаев будет носить нейтральное имя или похожее на название какого-нибудь системного модуля.

Некоторые коммерческие и бесплатные шпионские программы присутствуют в официальном магазине приложений Android Market. Другие требуется скачивать с собственных сайтов непосредственно с целевого смартфона или же копировать на карту памяти. Все подобные программы-шпионы можно использовать как в легальных, так и нелегальных целях.

Угроза с тыла

В начале марта 2011 года в СМИ появилась информация о том, что в Android Market были найдены программы и игры, содержащие троянский функционал. В популярное ПО кем-то были добавлены троянские функции. Общее число таких приложений – около 50.

В возможности Android.DreamExploid – он и явился причиной данного заражения – входит сбор информации об устройстве, на котором он установлен, включая IMEI и абонентский номер, возможность подключения к Интернету для связи с авторами, но, самое главное, троянец устанавливал эксплойт, пытавшийся без ведома пользователя произвести повышение привилегий программного окружения смартфона. Вместо стандартных ограниченных возможностей пользователь получал систему с правами администратора. Кроме того, Android.DreamExploid имеет возможность загрузки программ из Интернета и их установки в обход пользователя (в случае удачной эксплуатации уязвимости).

Компания Google удалила из своего магазина приложений все известные версии программ с этим троянцем, а также произвела операцию удаленного изъятия (т. н. Kill Switch) установленных программ на смартфонах пользователей. Тем не менее, учитывая специфику Android Market, нельзя полностью исключать вероятность повторения подобных инцидентов – и вот уже в начале нынешнего лета интернет-магазин вновь «порадовал» своих пользователей.

9 июня специалистами компании «Доктор Веб» был добавлен в вирусные базы новый троянец для Android – Android.Plankton. Впервые эта угроза была выявлена в Лаборатории компьютерных исследований Университета Северной Каролины (Department of Computer Science, NC State University), сотрудник которой – доцент Ксаксиан Цзян (Xuxian Jiang, Assistant Professor) – любезно предоставил компании образцы инфицированного приложения (см. рис. 5).

Рисунок 5. Android.Plankton

Рисунок 5. Android.Plankton

Основная особенность данной угрозы в том, что вредоносный объект встроен в приложение Angry Birds Rio Unlock, открывающее доступ к скрытым уровням популярной для различных мобильных платформ игры Angry Birds. Только с Android Market инфицированная программа была загружена более 150 000 раз, а на альтернативных ресурсах (в частности, с известного сборника приложений для Android androidzoom.com) число скачиваний достигало 250 000.

Атака этого троянца выглядит следующим образом: непосредственно после запуска инфицированного приложения троянец загружает в фоновом режиме собственную службу, которая собирает информацию о зараженном устройстве (ID-устройства, версия SDK, сведения о привилегиях файла) и передает ее на удаленный сервер.

Затем вредоносная программа получает с сайта злоумышленников данные для последующей загрузки и установки на смартфон жертвы другого приложения, функционал которого, по предположениям аналитиков, может варьировать. Сегодня нам известно о нескольких видах такого вредоносного ПО. В частности, это пакеты plankton_v0.0.3.jar и plankton_v0.0.4.jar, предназначенные для выполнения на инфицированном устройстве получаемых от управляющего центра команд. Все известные модификации данного троянца добавлены в вирусные базы Dr.Web.

***

Анализ выявленных угроз показывает, что большинство вредоносных программ для Android встроены в легитимные приложения, распространяемые через популярные сайты, – сборники ПО и игр. Для реализации атак используются не только уязвимости операционной системы, но и невнимательность самих пользователей, назначающих устанавливаемому приложению слишком высокие привилегии.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru