Империя под угрозой. Вредоносное ПО для Android::Журнал СА 7-8.2011
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6143
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6856
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4139
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2978
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3781
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3789
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6283
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3134
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3433
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7246
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10616
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12336
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13968
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9099
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7052
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5361
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4593
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3400
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3127
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3378
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 2999
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Империя под угрозой. Вредоносное ПО для Android

Архив номеров / 2011 / Выпуск №7-8 (104-105) / Империя под угрозой. Вредоносное ПО для Android

Рубрика: БИТ. Бизнес & Информационные технологии /  Мобильные технологии

Вячеслав Медведев ВЯЧЕСЛАВ МЕДВЕДЕВ, аналитик компании «Доктор Веб»

Империя под угрозой
Вредоносное ПО для Android

Хотя мобильная платформа Android базируется на ядре Linux и обладает механизмом обеспечения безопасности, для нее появляется все больше вредоносных программ. Одна из причин явления – широкое распространение этой ОС

Еще одна возможная причина роста количества угроз для Android – открытость исходных кодов этой операционной системы, благодаря чему любые обнаруженные в ней уязвимости быстро становятся достоянием широкой общественности. Дополнительную опасность создает и то, что, например, пользователи устройств на базе Android могут загружать приложения с различных площадок, это значительно повышает вероятность заражения. Владельцы iPhone, iPad и iPod – только из App Store.

«Горячая» семейка СМС-троянцев

Одно из первых упоминаний этого троянца относится к 4 августа 2010 года. Именно в тот день пользователь известного российского форума 4pda.ru/forum, посвященного мобильным телефонам, смартфонам и КПК, пожаловался на некую программу-видеоплеер, закачивающуюся с определенного сайта. В разрешениях к этой программе была указана работа с СМС, а точнее, их отправка – permission.SEND_SMS. На следующий день на том же форуме еще один пользователь сообщил об этом файле. Распространялся он с именем RU.apk. Файл имел иконку видеоплеера и носил соответствующее имя: MoviePlayer. Интересная деталь: дата создания файлов внутри пакета – 29 июля 2010 года. Получается, что троянец безнаказанно распространялся почти неделю.

Пользователи форума отправили подозрительный файл в антивирусные компании 5 августа. Тогда же Android.SmsSend.1 был добавлен в вирусные базы Dr.Web. Чуть позднее этот же вредоносный объект добавили в свои базы (под принятыми у себя наименованиями) и зарубежные производители антивирусов.

7 сентября 2010 года на известном сайте www.mobile-review.com в разделе, посвященном системе Android, вышла небольшая заметка от компании «Доктор Веб», повествующая уже о новой версии Android.SmsSend (см. рис. 1), которая отличалась изменившейся иконкой и названием пакета.

Рисунок 1. Новая версия Android.SmsSend

Рисунок 1. Новая версия Android.SmsSend

Новая модификация была добавлена в вирусные базы в тот же день, 7 сентября 2010 года, под именем Android.SmsSend.2. Как и при обнаружении Android.SmsSend.1, детектирование в зарубежных антивирусных продуктах появилось чуть позднее, что вполне логично, учитывая, что троянцы данного семейства нацелены на пользователей смартфонов в России.

14 октября 2010 года в СМИ появилась информация об обнаружении новой версии СМС-троянца. Ее создатели вернули первоначальную иконку плеера; имя распространяемого пакета было прежнее: pornoplayer.apk. Соответствующее обновление баз Dr.Web произошло еще 11 октября.

Этот троянец интересен способом проникновения на смартфоны жертв. Владельцы сайтов с контентом для взрослых (о сайтах других категорий пока ничего не известно) в рамках партнерской программы могу добавлять на свои страницы функцию загрузки троянца. Но хитрость заключается в том, что Android.SmsSend будет загружен только тогда, когда посещение сайта происходит с браузера мобильного устройства. В случае Android-смартфона при посещении такого сайта без согласия пользователя будет загружен СМС-троянец для ОС Android. Пользователь может ничего и не заметить, кроме быстро исчезающего системного сообщения о начале загрузки. В дальнейшем, случайно или из любопытства, владелец смартфона может установить программу, а пикантное название или невнимательность, в свою очередь, приведут к ее запуску. Если же зайти на такие сайты с другого мобильного устройства, например, обычного сотового телефона, то загружаться будет СМС-троянец, написанный на J2ME. Если на подобный сайт зайти с обычного компьютера, троянец не будет загружен, а браузер в большинстве случаев откроет искомый сайт или домашнюю страницу одного из известных поисковиков.

Если говорить о новейшей истории СМС-троянцев, стоит выделить вредоносную программу Android.Wukong (см. рис. 2). 17 июня 2011 года в вирусные базы Dr.Web были внесены описания четырех новых модификаций этого СМС-сендера (Android.Wukong 4-7). Он известен тем, что похищает средства со счетов пользователей ОС Android путем отправки платных СМС-сообщений. Вредоносная программа попадает на мобильное устройство в случае загрузки его владельцем одного из инфицированных приложений (они распространяются с нескольких китайских сайтов, в том числе с одного из крупнейших сборников ПО) и запускается в качестве фонового процесса. Затем троянец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут отправляет СМС-сообщения, начинающиеся со строки «YZHC». Помимо этого, вредоносная программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие СМС с информацией о приеме платежа оператором.

Рисунок 2. Android.Wukong

Рисунок 2. Android.Wukong

Справедливости ради стоит сказать, что иногда вирусописатели распространяют условно некоммерческие образцы СМС-сендеров. Примером может служить обнаруженный в мае этого года Android.NoWay.1, который, активизировавшись на мобильном устройстве, проверял дату, и, если это происходило 21 мая, рассылал по списку контактов СМС с фразами религиозного содержания. Именно в этот день по одной из многочисленных апокалипсических теорий должен был наступить конец света.

Из Китая «с любовью»

Особенность этой группы вредоносных программ – в происхождении и способе распространения. Речь идет об Android.Geinimi, Android.Spy и Android.ADRD (по классификации Dr.Web). Родина этих вредоносных программ – Китай, а известность они получили в конце 2010 года.

Эти троянцы распространяются под видом известных программ, игр и живых обоев. Среди этого перечня как популярное во всем мире, так и известное лишь в Китае ПО. В основном эти вредоносные программы распространяются на китайских форумах, сайтах, посвященных мобильным технологиям, а также на файлообменниках.

Схема заражения выглядит следующим образом: пользователь смартфона скачивает и устанавливает себе такую программу, запускает ее; внешне она работает так, как в принципе и должна: в игру можно играть, в программах нет никаких сбоев, функционал соответствует названию. Однако скрытно от пользователя вместе с основной программой запускается и ее троянская составляющая. В то время как пользователь беззаботно играет или пользуется программой, троянский сервис в фоновом режиме собирает информацию о его контактах и СМС, IMEI смартфона, а также данные сим-карты. Вся эта информация отправляется на сервер авторов троянца.

В функционал Android.Geinimi входит определение местоположения смартфона, загрузка файлов из Интернета (другие программы), считывание и запись закладок браузера, чтение контактов, совершение звонков, отправка, чтение и редактирование СМС, а также другие возможности. Даже если закрыть запущенную программу, троянский сервис продолжит свою работу в фоне.

Android.Spy, помимо чтения и записи контактов, отправки, чтения и редактирования СМС, определения координат и других возможностей, имеет функцию автозагрузки. Его действиями создатели могут управлять удаленно через СМС. Android.Spy также может загружаться при включении смартфона, но его цель несколько иная – сбор идентификационных данных смартфона, возможность задания определенных параметров поиска в поисковом движке, а также переход по ссылкам. Троянец может загружать свои обновления, но для установки все же необходимо участие пользователя.

Один из признаков того, что устанавливаемая программа содержит такого троянца, – дополнительные разрешения, которые требуются для работы. Например, если для игры в ее оригинальном виде нужен лишь доступ в Интернет, то в инфицированной версии количество привилегий будет намного выше.

Поэтому, если вам точно известно, что данная программа или игра не имеет функций работы с СМС, звонками, контактами и т.п., то мудрым решением будет не связываться с ней.

Нашей компании сегодня известны десятки модификаций Android.Spy, список постоянно расширяется. Одна из модификаций этого троянца – Android.Spy.54 – была обнаружена специалистами компании 12 апреля 2011 года на китайском интернет-ресурсе www.nduoa.com. Троянец был встроен в программу Paojiao – виджет, позволяющий совершать звонки или отсылать СМС на выбранные номера. Стоит добавить, что распространение в составе легитимных программ является стандартной моделью для вредоносных программ семейства Android.Spy.

Эта модификация Android.Spy регистрирует фоновый сервис, который соединяется с сайтом злоумышленников, отсылая им идентификационные данные жертвы (в частности, Международный идентификатор мобильного оборудования IMEI и индивидуальный номер абонента IMSI). Кроме того, троянец загружает xml-файл, содержащий команды для спам-рассылки СМС с телефона жертвы и добавления определенных сайтов в закладки браузера.

Из угроз, появившихся относительно недавно, стоит выделить также Android.Gongfu, которая была обнаружена специалистами «Доктор Веб» 6 июня 2011 года (сегодня в базе присутствуют пять модификаций этой вредоносной программы).

В ходе исследований выяснилось, что Android.Gongfu использует те же уязвимости, что и широко распространенный Android.DreamExploid, однако демонстрирует принципиально иной механизм действия. После запуска вредоносная программа повышает собственные права до привилегий root, а вслед за этим загружает другое приложение, которое добавляется в инфицированную систему в качестве фонового сервиса. По завершении загрузки ОС этот сервис запускается автоматически без участия пользователя и собирает идентификационную информацию о зараженном устройстве, включая версию ОС, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользователя. Далее сведения передаются злоумышленникам на удаленный сервер. Фактически данная вредоносная программа обладает функциями бэкдора, способного обрабатывать получаемые от удаленного сервера команды.

Полноценный бэкдор для Android

В апреле был зафиксирован первый полноценный бэкдор для Android, уже насчитывающий две известные модификации. Android.Crusewind (см. рис. 3) использует ряд новых приемов распространения и не встречавшуюся ранее нагрузку. Жертва получает сообщение, похожее на следующее: «Получены обновления настройки MMS/GPRS/EDGE. Для активации пройдите по ссылке: http://.../flash/MM329.apk». При переходе по указанной ссылке пользователь получает троянский APK – дистрибутивный пакет ОС Android (в этом формате хранятся дистрибутивы в магазине Android Market).

Рисунок 3. Android.Crusewind

Рисунок 3. Android.Crusewind

После установки троянец скачивает со своего командного центра конфигурационный файл в формате XML. При этом вредоносная программа обладает достаточно серьезным набором функций. Например, она способна рассылать SMS-сообщения по команде с сервера.

«Шпионят потихоньку»

Помимо классических троянских программ, угрозу для пользователя смартфона на базе ОС Android представляют и коммерческие шпионские программы. В их возможности, в зависимости от компании-производителя, входит слежение за координатами владельца смартфона, прослушивание окружающей обстановки, чтение входящих и исходящих СМС, контроль звонков и т.п. «Легальная» идея, под которой они распространяются, – возможность контролировать, а также защищать детей, контроль подчиненных или проверка на верность своей «второй половины».

Наиболее известные коммерческие программы-шпионы – Flexispy (см. рис. 4), Mobile Spy и Mobistealth. Большинство производителей таких программ предлагает свои решения сразу для нескольких мобильных платформ: Symbian, Android, Blackberry, Windows Mobile, iPhone, iPad, Maemo (для iPhone и iPad необходимым условием для установки и работы является jailbreak-аппарата). Также в мае этого года было еще несколько подобных программ, в том числе Cell Phone Recon (по классификации Dr.Web – Android.Recon) и SpyDroid (занесена в базу Dr.Web как Android.SpyDroid).

Рисунок 4. Flexispy

Рисунок 4. Flexispy

Большинство таких программ продаются с подпиской на год. Цена зависит от функционала конкретной версии программы. Для установки «жучка» на мобильном устройстве предполагаемого объекта слежки необходим физический доступ к самому аппарату. Перед использованием программы ее необходимо правильно настроить, а также стереть все возможные следы того, что с устройством что-то происходило без ведома его владельца.

Почему шпионы остаются незамеченными в системе?

В первую очередь это обусловлено тем, что после установки большинство шпионских программ не имеет иконки на рабочем столе, а если и имеет, то с нейтральным названием. В случае запуска программы через эту иконку активируется специальная часть, призванная снять все подозрения: это могут быть простенькая игрушка, калькулятор и т.п. Если же пользователь посмотрит список установленных программ в системном меню, то шпион в большинстве случаев будет носить нейтральное имя или похожее на название какого-нибудь системного модуля.

Некоторые коммерческие и бесплатные шпионские программы присутствуют в официальном магазине приложений Android Market. Другие требуется скачивать с собственных сайтов непосредственно с целевого смартфона или же копировать на карту памяти. Все подобные программы-шпионы можно использовать как в легальных, так и нелегальных целях.

Угроза с тыла

В начале марта 2011 года в СМИ появилась информация о том, что в Android Market были найдены программы и игры, содержащие троянский функционал. В популярное ПО кем-то были добавлены троянские функции. Общее число таких приложений – около 50.

В возможности Android.DreamExploid – он и явился причиной данного заражения – входит сбор информации об устройстве, на котором он установлен, включая IMEI и абонентский номер, возможность подключения к Интернету для связи с авторами, но, самое главное, троянец устанавливал эксплойт, пытавшийся без ведома пользователя произвести повышение привилегий программного окружения смартфона. Вместо стандартных ограниченных возможностей пользователь получал систему с правами администратора. Кроме того, Android.DreamExploid имеет возможность загрузки программ из Интернета и их установки в обход пользователя (в случае удачной эксплуатации уязвимости).

Компания Google удалила из своего магазина приложений все известные версии программ с этим троянцем, а также произвела операцию удаленного изъятия (т. н. Kill Switch) установленных программ на смартфонах пользователей. Тем не менее, учитывая специфику Android Market, нельзя полностью исключать вероятность повторения подобных инцидентов – и вот уже в начале нынешнего лета интернет-магазин вновь «порадовал» своих пользователей.

9 июня специалистами компании «Доктор Веб» был добавлен в вирусные базы новый троянец для Android – Android.Plankton. Впервые эта угроза была выявлена в Лаборатории компьютерных исследований Университета Северной Каролины (Department of Computer Science, NC State University), сотрудник которой – доцент Ксаксиан Цзян (Xuxian Jiang, Assistant Professor) – любезно предоставил компании образцы инфицированного приложения (см. рис. 5).

Рисунок 5. Android.Plankton

Рисунок 5. Android.Plankton

Основная особенность данной угрозы в том, что вредоносный объект встроен в приложение Angry Birds Rio Unlock, открывающее доступ к скрытым уровням популярной для различных мобильных платформ игры Angry Birds. Только с Android Market инфицированная программа была загружена более 150 000 раз, а на альтернативных ресурсах (в частности, с известного сборника приложений для Android androidzoom.com) число скачиваний достигало 250 000.

Атака этого троянца выглядит следующим образом: непосредственно после запуска инфицированного приложения троянец загружает в фоновом режиме собственную службу, которая собирает информацию о зараженном устройстве (ID-устройства, версия SDK, сведения о привилегиях файла) и передает ее на удаленный сервер.

Затем вредоносная программа получает с сайта злоумышленников данные для последующей загрузки и установки на смартфон жертвы другого приложения, функционал которого, по предположениям аналитиков, может варьировать. Сегодня нам известно о нескольких видах такого вредоносного ПО. В частности, это пакеты plankton_v0.0.3.jar и plankton_v0.0.4.jar, предназначенные для выполнения на инфицированном устройстве получаемых от управляющего центра команд. Все известные модификации данного троянца добавлены в вирусные базы Dr.Web.

***

Анализ выявленных угроз показывает, что большинство вредоносных программ для Android встроены в легитимные приложения, распространяемые через популярные сайты, – сборники ПО и игр. Для реализации атак используются не только уязвимости операционной системы, но и невнимательность самих пользователей, назначающих устанавливаемому приложению слишком высокие привилегии.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru