С января количество угроз для Android возросло в 10 раз

1174
Doctor Web Logo

Компания «Доктор Веб» сообщает, что было выявлено более 40 вредоносных программ для операционной системы Android (для iOS — только одна), что свидетельствует о неуклонном росте популярности этой платформы среди вирусописателей. По сравнению с началом года наблюдается десятикратный рост угроз для нее. Не остались в стороне и вирусописатели, ориентирующиеся как на персональные компьютеры под управлением Microsoft Windows, так и на «макинтоши».

Даже несмотря на то, что мобильная платформа Android базируется на ядре Linux и обладает весьма надежным механизмом обеспечения безопасности, с каждым днем для нее появляется все больше и больше вредоносных программ. Одна из очевидных причин этого — чрезвычайно широкое распространение данной ОС.

Мобильные устройства стали лакомым куском для разработчиков вредоносных программ, ведь с их помощью можно тайком от пользователя рассылать SMS и осуществлять звонки на платные номера, организовывать рекламные рассылки по списку абонентов адресной книги и загружать на смартфон различный контент. Иными словами, этот рынок открывает злоумышленникам короткий путь к быстрому обогащению.

Еще одна возможная причина роста количества угроз для Android — открытость исходных кодов этой операционной системы, благодаря чему любые обнаруженные в ней уязвимости быстро становятся достоянием широкой общественности. Дополнительную опасность создает и то обстоятельство, что, например, пользователи устройств на базе Android могут загружать приложения с различных площадок, что значительно повышает вероятность заражения. Владельцы iPhone, iPad и iPod — только из App Store.

Из всех вредоносных программ для ОС Android, появившихся на свет за истекший месяц, больше всего шума наделал троянец Android.Plankton. Впервые эта угроза была выявлена в Лаборатории компьютерных исследований Университета Северной Каролины (Department of Computer Science, NC State University). Одной из отличительных особенностей Android.Plankton является вероятная массовость его распространения: троянец был встроен в приложение Angry Birds Rio Unlock, открывающее доступ к скрытым уровням популярной игры Angry Birds. Только с официального сайта Android Market инфицированная программа была загружена более 150 000 раз, а на альтернативных ресурсах, таких как широко известный сборник приложений для Android androidzoom.com, число скачиваний достигало 250 000.

Infected Angry Birds Rio Unlock

Опасность данного вредоносного приложения заключается в том, что троянец не только собирает и отправляет злоумышленникам информацию о зараженном устройстве (включая ID оборудования, версию SDK, сведения о привилегиях файла), но и позволяет выполнять различные команды, получаемые от удаленного центра.

Буквально за несколько дней до этого, 6 июня 2011 года была выявлена еще одна угроза для Android, получившая наименование Android.Gongfu. В ходе исследований выяснилось, что Android.Gongfu использует те же уязвимости, что и широко распространенный Android.DreamExploid, однако демонстрирует принципиально иной механизм действия. После запуска вредоносная программа повышает собственные права до привилегий root, а вслед за этим загружает другое приложение, которое добавляется в инфицированную систему в качестве фонового сервиса. По завершении загрузки ОС этот сервис запускается автоматически без участия пользователя и собирает идентификационную информацию о зараженном устройстве, включая версию операционной системы, модель телефона, наименование мобильного оператора, номер IMEI и телефонный номер пользователя. Далее эти сведения передаются злоумышленникам на удаленный сервер. Фактически, данная вредоносная программа обладает функциями бэкдора, способного обрабатывать получаемые от удаленного сервера команды.

Infected Software for Android

17 июня 2011 года были задетектированы четыре новые модификаций SMS-сендера Android.Wukong (4–7), похищающего средства со счетов пользователей ОС Android путем отправки платных СМС-сообщений. Вредоносная программа попадает на мобильное устройство в случае загрузки его владельцем одного из инфицированных приложений (они распространяются с нескольких китайских сайтов, в том числе с одного из крупнейших сборников ПО www.nduoa.com) и запускается в качестве фонового процесса. Затем троянец получает с удаленного сервера номер платного сервиса, на который с интервалом в 50 минут начинает отправлять SMS-сообщения, начинающиеся со строки «YZHC». Помимо этого, вредоносная программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие SMS с информацией о приеме платежа оператором.

Анализ выявленных угроз показывает, что большинство вредоносных программ для Android встроено в легитимные приложения, распространяемые через популярные сайты, — сборники ПО и игр. Для реализации атак используются не только уязвимости операционной системы, но и невнимательность самих пользователей, назначающих устанавливаемому приложению слишком высокие привилегии.

Динамика роста угроз для мобильной операционной системы Android с начала текущего года показана на предложенном ниже графике. Налицо практически десятикратное увеличение в течение полугода, и можно предположить, что число вредоносных программ для этой платформы будет увеличиваться и в дальнейшем.

Динамика появления угроз на ОС Android

Тренд сезона — запись в MBR

Наиболее «модная» тенденция нынешнего июня — это появление большого количества различных вредоносных программ, использующих для реализации атак на зараженную систему модификацию загрузочной записи. Ярчайшим представителем данного «племени» вредоносного ПО является троянец Trojan.MBRlock — вымогатель, изменяющий главную загрузочную запись (Master Boot Record), делая невозможным запуск ОС Windows. На сегодняшний обнаружено порядка 40 модификаций этого троянца.

Инфицированный MBR-буткитом

После запуска Trojan.MBRlock вносит изменения в Master Boot Record, однако оригинальная загрузочная запись и таблицы разделов обычно сохраняются. При каждом последующем включении питания компьютера троянец блокирует загрузку операционной системы, считывает из соседних секторов жесткого диска в память основной код и демонстрирует на экране требование пополнить счет мобильного телефона одного из российских сотовых операторов. Следует отметить, что, как и в случае с первыми «винлоками», спустя несколько дней после своего первого появления на компьютере пользователя Trojan.MBRlock, как правило, самостоятельно деактивируется и перестает препятствовать загрузке Windows.

А вот другая вредоносная программа, Win32.Rmnet, также модифицирующая загрузочную запись (благодаря чему она получает возможность запуститься раньше установленного на компьютере антивируса), несет значительно большую опасность для пользователя: она крадет пароли от популярных ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Эта информация впоследствии может быть использована злоумышленниками для реализации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. При помощи указанных сведений вирусописатели как минимум смогут получить доступ к хранящимся на пользовательских сайтах папкам и файлам, удалить или изменять их. Кроме того, вредоносные модули Trojan.Rmnet могут осуществлять мониторинг сетевого трафика и реализовывать функционал бэкдора.

Trojan.Rmnet

Trojan.Rmnet проникает на компьютер посредством зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов. Иными словами, распространяется как типичный вирус, поскольку обладает способностью к саморепликации — копированию самого себя без участия пользователя. Троянец инфицирует файлы с расширениями .exe, .dll, .scr, .html, .htm, а в некоторых случаях — .doc и .xls, при этом программа способна создавать на съемных накопителях файл autorun.inf. Непосредственно после своего запуска троянец модифицирует главную загрузочную запись, регистрирует системную службу Microsoft Windows Service (она может играть в операционной системе роль руткита), пытается удалить сервис RapportMgmtService и встраивает в систему несколько вредоносных модулей, отображающихся в Диспетчере задач Windows в виде четырех строк с заголовком iexplore.exe.

В последних числах июня появилась новая угроза, получившая название Trojan.Mayachok.2. Симптомы заражения этой троянской программой весьма характерны: какой бы браузер ни был установлен на компьютере пользователя (Internet Explorer, Firefox, Opera или Google Chrome), при попытке подключения к Интернету появляется баннер, демонстрирующий ложное сообщение о заражении компьютера троянцем Trojan.Win32.Ddox.ci и связанной с этим необходимостью обновить браузер.

Инфицированный FireFox

При этом в адресной строке браузера демонстрируется реальный URL запрашиваемого сайта, в то время как в самом окне программы отображается измененная троянцем веб-страница. В случае если пользователь соглашается с предложением установить обновления, ему будет предложено отправить платное SMS-сообщение на указанный злоумышленниками номер.

Инфицированный Opera

В ходе анализа угрозы выяснилось, что для реализации своих вредоносных функций Trojan.Mayachok.2 модифицирует не Master Boot Record, не загрузочный сектор, и даже не ntldr, а часть Volume Boot Record (VBR) — записи, которой передается управление после MBR. Данная троянская программа использует весьма оригинальный алгоритм заражения, неспецифичный для других угроз. Проникая на компьютер жертвы, Trojan.Mayachok.2 получает серийный номер системного тома и на его основе создает в реестре путь, по которому определяет зараженность системы. В первую очередь троянец пытается повысить собственные права, в Windows Vista и Windows 7 он решает эту задачу постоянным перезапуском самого себя с запросом на повышение привилегий. Затем Trojan.Mayachok.2 размещает на диске свой драйвер-загрузчик (причем он имеет отдельные варианты загрузчика для 32-разрядной и 64-разрядной версий Windows) и заражает VBR, но только в том случае, если активный раздел отформатирован в стандарте NTFS. В процессе запуска Windows вредоносная программа автоматически загружается в оперативную память.

Поскольку вредоносный объект находится в оперативной памяти компьютера, переустановка браузеров, использование служебной программы «Восстановление системы» и даже запуск Windows в режиме защиты от сбоев не приносят желаемого эффекта.

Из всего сказанного выше можно сделать вывод: вирусописатели стали гораздо активнее использовать в своих творениях принцип модификации загрузочной записи, что, с одной стороны, несколько усложняет борьбу с подобными угрозами, а с другой — делает ее более интересной.

«Черный ход» в Mac OS X

Среди всех угроз для операционной системы Mac OS X (а их все еще немного) значительное большинство составляют ложные антивирусы наподобие широко известного MacDefender, а также различные троянские программы, такие как, например, Mac.DnsChange. Тем неожиданнее стала новость об обнаружении нового бэкдора для использующих Intel-совместимую архитектуру компьютеров производства компании Apple. Данная вредоносная программа получила наименование BackDoor.Olyx.

Инфицированная Mac OS X

BackDoor.Olyx стал вторым известным бэкдором для Mac OS X— первый назывался BackDoor.DarkHole. Эта программа имеет версию как для Mac OS X, так и для Windows. Запускаясь в операционной системе, она позволяет злоумышленникам открывать на зараженной машине веб-страницы в используемом по умолчанию браузере, перезагружать компьютер и удаленно выполнять различные операции с файловыми объектами. Теперь в вирусной базе Dr.Web к BackDoor.DarkHole присоединился BackDoor.Olyx.

Данный бэкдор дает злоумышленникам возможность управлять компьютером без ведома его владельца: принимать с удаленного сервера команды создания, переноса, переименования, удаления различных файловых объектов, а также некоторые другие директивы, выполняемые через оболочку /bin/bash.

5 июля 2011

08:00

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Сервис CyberLink PerfectCam накладывает макияж на лицо абонента во время видеосвязи: Сервис CyberLink PerfectCam совместим со Skype, Skype for Business, Google Hangouts и CyberLink U 8

Эксперты Strategy Analytics назвали самый продаваемый смартфон по итогам минувшего квартала: Всего за квартал было продано 360,4 млн смартфонов34

На выпуск объектива Biotar 75/f1.5 уже собрано более $300 000 : Один объектив Biotar 75/f1.5 стоит $94914

Производитель называет Alphacool Eisbaer 420 самой большой готовой системой жидкостного охлаждения: Радиатор Alphacool Eisbaer 420 изготовлен из меди3

Маршрутизатор ASRock X10 предназначен для умного дома: Маршрутизатор ASRock X10 поддерживает протоколы IoT 9

По данным TrendForce, за год продажи ноутбуков увеличились на 3,6%; Apple совсем немного отстает от Asus : Первое место среди поставщиков ноутбуков пятый квартал подряд удерживает компания HP11

Продажи фототехники Fujifilm за год выросли на 9,2%: Компания Fujifilm отчиталась за минувший квартал6

Не стоит ждать игровых видеокарт с GPU Volta в «обозримом будущем»: Nvidia пока не собирается выпускать видеокарты с GPU Volta43

Смартфон Sony Xperia XZ1 предстал на «живых» фото: Смартфон Sony Xperia XZ1 не будет сильно отличаться от предшественника11

Процессор обработки изображений Qualcomm Spectra второго поколения получит множество новых возможностей: Qualcomm Spectra ISP второго поколения сможет создавать трёхмерные слепки объектов2

Некоторые майнеры всё ещё считают, что из видеокарты Radeon RX Vega 64 можно выжать 80 MH/s при добыче криптовалюты: У майнеров ещё есть надежда на фантастический результат Radeon RX Vega 6425

Samsung получает за использование поисковой системы Google еще больше, чем Apple: Сумма выплат за этот год составит 3,5 млрд долларов35

Анонс смартфона Huawei Mate 10 состоится 16 октября в Мюнхене: Изначально смартфон будет выпущен на территории Европы2

Apple может создать свой сериал, который сможет составить конкуренцию Game of Thrones: Apple вложит в создание собственных сериалов и шоу 1 млрд долларов58

Прошивка Xiaomi MIUI сегодня отмечает 7 лет: MIUI 9 была выпущена 11 августа 20174

Удорожание памяти DRAM негативно скажется на стоимости видеокарт: Видеокарты подорожают из-за удорожания памяти DRAM7

Опубликовано изображение смартфона Samsung Galaxy Note 8 в цвете Deep Sea Blue: Samsung Galaxy Note 8 представят 23 августа этого года16

Xiaomi представит свою технологию трехмерного распознавания лиц в четвертом квартале 2017: По слухам, над собственными технологиями распознавания лиц работают компании Qualcomm и Xiaomi

Fiat Chrysler Automobiles присоединяется к BMW, Intel и Mobileye для разработки беспилотных авто: Fiat Chrysler Automobiles будет работать с BMW7

В 2021 году экраны с соотношением сторон 18:9 займут примерно 30% рынка дисплеев для смартфонов: Поставки сверхширокоформатных дисплеев для смартфонов по итогам года составят 170 млн единиц11

Линейка смартфонов Asus Zenfone 4 показана во всех цветах на официальных изображениях: Тайваньская презентация Asus Zenfone 4 должна состояться уже завтра2

Huawei подтвердила факт использования SoC Kirin 970 в смартфоне Mate 10: По слухам, Huawei Mate 10 выйдет в октябре этого года1

Новый беспроводной адаптер Xbox для Windows задержится до 2018 года: Новый беспроводной адаптер Xbox для Windows отличается от оригинального устройства уменьшенным примерно на треть размером.3

Основной камере Samsung Galaxy Note 8 приписывают датчики изображения разрешением 12 и 13 Мп: Похожие камеры реализованы в iPhone 7 Plus, OnePlus 5, Xiaomi Mi 6 и ряде других устройств1

Samsung CFG73 — изогнутый игровой монитор с кадровой частотой 144 Гц на базе панели VA: Samsung CFG73 обеспечивает охват 125% цветового пространства sRGB11

Гарнитура Lenovo с поддержкой Google Daydream будет называться Mirage: Детали могут появиться в начале сентября на IFA 2017

Видеокарты Radeon RX Vega 64 могут существенно подорожать уже в ближайшее время: Видеокарты Radeon RX Vega 64 могут подорожать 25

27-дюймовый монитор BenQ EW277HDR: поддержка HDR и расширенного цветового охвата DCI-P3: BenQ EW277HDR построен на ЖК-панели VA4

Конструкция систем охлаждения Gelid Phantom и Phantom Black включает семь тепловых трубок: Системы охлаждения Gelid Phantom и Phantom Black рассчитаны на процессоры с TDP 200 Вт1

Операционная система Xiaomi MIUI 9 будет использоваться в самом быстром электрическом суперкаре: Xiaomi MIUI 9 найдёт применение в NIO EP910

Камера Nikon D850 будет представлена в самое ближайшее время: На сайте производителя уже появилась заготовка для пресс-релиза5

Google выпустила браузерную версию мессенджера Allo: Google Allo теперь доступен из браузера5

Смартфон iPhone 7s станет крупнее предшественника: Новые смартфоны Apple снова вырастут в размерах56

Велосипед Xiaomi Mi Qicycle Mountain Bike оценили в 300 долларов: Xiaomi представила велосипед Mi Qicycle Mountain Bike31

ВИКТОРИНА ASUSTOR

Процессор с какой архитектурой установлен в ASUSTOR AS6302T, благодаря которому производительно выросла на 30% по сравнению с прошлым поколением?
1318

iXBT TV

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

  • 3D-карты AMD Radeon RX Vega, цены, спецификации, смартфон Meizu Pro 7

  • Обзор лазерного цветного МФУ Canon imageRunner Advance C3520i, младшего в новой линейке

  • Обзор робота-пылесоса iBoto Aqua V710 с функцией влажной уборки

  • Обзор электрической скороварки Unit USP-1090D: готовим под давлением

  • Обзор материнской платы Gigabyte GA-Z270-Gaming K3 c возможностью подъема напряжения на USB-портах

  • Обзор комплекта модулей памяти DDR4 Corsair Vengeance RGB с настраиваемой подсветкой

1212

Календарь

июль
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать