Хостинг-провайдер
93,56
рейтинг
20 ноября 2015 в 21:35

Разработка → Вредоносное ПО для Android становится все более изощренным



Поскольку мобильная операционная система Android является одной из наиболее распространенных, злоумышленники постоянно разрабатывают все новые и новые вредоносы для этой ОС. В принципе, ПО такого рода появляется каждый день, и большинство программ особого упоминания не заслуживает. Но есть и adware, принцип внедрения и работы которого весьма интересен (а для неопытного пользователя — и очень опасен).

Распространяется adware, о котором идет речь, вполне испытанным среди злоумышленников способом: перепаковываются обычные приложения от Twitter, Facebook или даже Okta (сервис двухфакторной аутентификации). Эти приложения с трояном загружаются не в каталог Google Play, а на сторонние ресурсы/каталоги, многие из которых также весьма популярны. С точки зрения пользователя, который пытается скачать какое-то из троянизированных приложений, все хорошо, при этом во многих случаях программа после установки работает, как нужно. Но во время установки на телефон жертвы устанавливается и мощное приложение-троян, которое использует эксплоиты для получения рута. Эксплоиты, найденные в трех семействах таких приложений (Shedun, Shuanet, и ShiftyBug) позволяют устанавливаться зловреду в качестве системного приложения с соответствующим статусом, который имеют только системные процессы.

«Для обычных пользователей получение такого вредоноса, как Shedun, Shuanet, или ShiftyBug может означать необходимость похода в магазин за новым телефоном», — говорит представитель компании по информационной безопасности Lookout, которая и занимается изучением вредоносного ПО для Android. И действительно, обычным образом удалить приложения не удастся — у них системный приоритет, поэтому не поможет ничего.

Злоумышленники, по словам экспертов, перепаковывают тысячи популярных приложений, размещая затем зараженные программы на сторонних download-ресурсах. Перепакованное ПО с упомянутыми выше троянами найдены на сайтах США, Германии, Ирана, России, Индии, Ямайки, Судана, Бразили, Мехико, Индонезии. Информации о том, что зараженные приложения попали в Google Play, пока нет.

Интересно, что каждая из указанных программ-зловредов использует целый набор эксплоитов для ряда наиболее популярных мобильных устройств. К примеру, ShiftyBug оснащен минимум 8 различными эксплоитами.



Сейчас одна из разновидностей упомянутых выше приложений получила возможность загружать на телефон жертвы adware, даже если тот отказывается от установки, нажимая на соответствующую кнопку. Эта программа также относится к семейству Shedun, adware, распространяющихся уже указанным выше способом. Зловред обманывает жертву, используя Android Accessibility Service. После установки на телефон программа получает возможность показывать всплывающую рекламу со ссылками на adware. Даже, если пользователь отказывается от установки, Shedun, используя Accessibility Service, устанавливает adware.



По словам специалистов по информационной безопасности, Shedun в данном случае не использует уязвимость сервиса. Вместо этого используются вполне легальные возможности Android. После разрешения использовать accessibility service, Shedun получает возможность читать текст, появляющийся на дисплее, определять, что запрашивает приложение, просматривать список разрешений и самостоятельно нажимать на кнопку установки, причем делается все это в автономном режиме, без участия пользователя.


P.S. Мы проводим второй этап акции специально для читателей Хабра. Пост с подробностями тут.
Автор: @ragequit
ua-hosting.company
рейтинг 93,56
Хостинг-провайдер

Комментарии (28)

  • +6
    >Для обычных пользователей
    >получение такого вредоноса, как
    >Shedun, Shuanet, или ShiftyBug может
    >означать необходимость похода в
    >магазин за новым телефоном

    А сервисные центры не котируются уже? Проблема решается стиранием флеша в крайнем случае. Обычно достаточно развернуть стоковый образ прошивки.
    • +5
      Последний раз моя знакомая именно с сервисного центра получила вредоноса, хотя пришла с погнутым usb-входом :/
      • +2
        Не все сервисные центры одинаково полезны.
  • +1
    В некоторых случаях, пользователь сможет восстановить исходную прошивку и самостоятельно. Для Sony, например, через Sony Update Service.
    Для некоторых других производителей есть сходные решения.
    Это не намного сложнее, чем разрешить установку приложений не из Google Play в настройках безопасности.
    А ведь без этого приложения из сторонних источников не поставить.
    • 0
      LG можно в пару кликов прошить через LG Flash Tool. Все делается так просто, что после своего HTC я не мог в это поверить.
  • –17
    Ubuntu touch все ближе и ближе! Возрадуемся же!
    • +6
      Ну канеш, портировать вирус с одного линукса на другой — непосильная задача.
      • +1
        Если Ubuntu Touch будут использовать 5% населения (а так и будет, скорее всего), причем они будут в основном прошаренными гиками, то вирусов там будет не больше, чем на убунте десктопной.
        • 0
          Допустим, я иногда качаю приложения с 4pda или других подобных ресурсов, откуда я могу знать, что в приложении нет вируса? Какая тут разница между убунту тач и андроидом?
          • 0
            Тем, что «продвинутые люди» будут собирать софт для Ubuntu Touch самостоятельно. Или, по меньшей мере, качать его непосредственно у авторов, его произведших, а не с сомнительных пиратских агрегаторов.
            • +1
              Это утопия утопий)
              • 0
                В случае с «альтернативной ОС»? Думаю, что если вы попробуете среди людей, знающих слово «Андроид» (даже исключив из их числа тех, кто пишет это слово через «й») провести опрос «Что такое Ubuntu Touch?», скорее всего из двадцати ответ даст как раз один. И, думаю, у этого «одного» нет вирусов на его мобильнике.
                • +1
                  Я имел ввиду, что сама идея «собирать самостоятельно» провальна даже среди разработчиков. Нет, ну вы сами подумайте, каждый раз нужно что-то компилировать на устройстве (а это время), а вдруг китайцы какой-то компонент забыли добавить в прошивку, этот компонент только под рутом можно поставить. А логи получить — это надо ставить драйвера, подключать отладчик и потом еще собирать сам компонент, который опять не будет собираться, потому что уже на компе нет какого-то модуля. Знаете, я иногда админю сервер, и недавно собирал ffmpeg, и мне жутко не нравится, когда на это я затрачиваю пол дня. А допустим, репозиторий ломанули и вы опять же скачали исходники с вирусом. Не будете же вы весь код просматривать перед установкой?) А как же платные приложения?
                  • 0
                    Какие еще платные приложения под мою Убунту? :)

                    Не цепляйтесь за слово «компилировать». Я там рядом написал «качать его непосредственно у авторов, его произведших». Надо было, конечно, поменять эти варианты местами, чтобы были рассортированы по приоритетам.

                    > А допустим, репозиторий ломанули и вы опять же скачали исходники с вирусом
                    Я эту страшилку слушаю лет 10. Много реальных случаев вы встречали?

                    Принцип прост. Чем более децентрализована система, тем труднее ее взломать целиком. Когда каждый разработчик отдельно предоставляет для скачивания свой продукт на своем сайте, причем используют разный сервер и каждый делает свою систему обновлений, то в этом зоопарке и взлом — единичная ручная работа.

                    Когда все приложения кладутся в общий магазин, то взлом этого магазина компрометирует всех.

                    Поэтому давайте называть вещи своими именами. Магазин — это
                    1. Удобно для юзера (проще искать и выбирать)
                    2. Удобно для разработчика (стандартный способ заливки, стандартные системы безопасности)

                    Но платить за эти плюсы приходится более низкой устойчивостью к зловредам, как бы нас ни убеждали в обратном маркетологи. Стандартизация всегда снижает устойчивость к взлому, потому что взлом тоже можно поставить «на поток». Не верите? Посмотрите, как много разных «кряков» делали для игр в до-Steam-овскую эпоху. И как сейчас штампуют пиратки со Steam-а.
                    • 0
                      Ну, возможно и вы правы)
      • 0
        Не ну ты сравнил. Убунту на мобильнике и кастрат-андроид с гугловскими свистоперделками.
        Мне надо, я скачал firefox, я скачал mc, я скачал любой нуженый мне софт, я его скомпилил и оно работает.
        Какой к черту маркет и прочий треш?
        Как правильно заметил оратор комментом ниже, не больше чем на убунте текущей.

        На андроиде тонны системного гуглового говна работают от старта до старта и это крайне ненормальная ситуация. У меня сейчас nexus4 с андроидом 4.3 и софтом, который я там ставил в середине 2014го года, с отключенной подгрузкой ММС.

        И почта, фф и звонилка там идеальны как и файловый манагер. Так что, когда китайцы выпустят новый девайс на свежих процессорах, я себе с радостью его куплю и поставлю на него убунту. И она будет работать как часы и я ее буду обновлять когда мне того надо, как и настраивать как мне это надо, без беготни вокруг до около с разлочкой загрузчика и установкой supersu и иже с ними.
  • НЛО прилетело и опубликовало эту надпись здесь
    • –2
      Вот хорошая история о том, почему антивирус приносит мало пользы
      • 0
        Интересно, у минусующих кроме инстинкта кликания, есть умение обосновывать свои действия?
    • 0
      Сам использую антивирус на Android еще с Nokia E65

      А Nokia E65 имела на борту Android?
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          На симбе >=9 не было нужды в антивирусе, если у вас был телефон не взломан (не стоял глобальный сертификат).
  • +5
    Mixim333 Разные случаи бывают. Приложение может успешно обойти google bouncer, и пару недель пролежать на google play, при этом иметь внутри кучу malicious функциональности. Или, к примеру предустановленный оператором/вендором софт может содержать уязвимости, которые дают удаленный доступ к устройству.
  • 0
    Опасность установки ПО из недостоверных источников предвидели еще в старые добрые времена Android 1.x (насколько я помню), так что не считаю метод изощренным, скорее напрашивающимся!
  • 0
    > «Для обычных пользователей получение такого вредоноса, как Shedun, Shuanet, или ShiftyBug может означать необходимость похода в магазин за новым телефоном», — говорит представитель компании по информационной безопасности

    Какой тонкий маркетинг. Главное — не рассказывать покупателям про лечение через factory reset, нечего тут, пусть идут покупать новый смартфон каждый раз.
    • +2
      Factory Reset потрёт только пользовательские данные настройки, установленный софт. Если зловред себя ещё куда прописал, то тут действовать иначе нужно.
      • +2
        Была статья про «вирус», который получает рут и ставит себя в /system. От этого поможет только прошить оригинальную прошивку поверх того, что там получилось.
  • 0
    Об этих опасностях я предупреждал в последнем номере Хакера.
    Первое, что нужно понять, так это запретить приложениям давать доступ к сервису спец возможностей.
    Второе, если вас троян уже поразил, но вы ему не дали доступа к этим сервисам, то попробуйте удалить последние установленные приложения. Есть вероятность, что троян ещё не проник глубоко в систему.
    Третье, если все совсем запущено и смартфон живет своей жизнью, то нужно все перепрошивать под корень.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка