«Доктор Веб»: обзор Android-угроз в 2012 году

ПредыдущаяСледующая
1174
Doctor Web Logo

С угрозами со стороны вредоносных программ ОС Android столкнулась практически с момента своего появления на рынке. И хотя многие пользователи поначалу восприняли этот факт скептически, постепенно их сомнения сменились обеспокоенностью за безопасность используемых мобильных устройств, так как число вредоносных приложений продолжало неуклонно расти. Прошедший 2012 год в этом плане не стал исключением. В этом обзоре мы рассмотрим наиболее интересные и заметные прошлогодние события, связанные с Android-угрозами.

СМС-троянцы

Троянцы семейства Android.SmsSend, появившиеся еще в 2010 году и быстро ставшие настоящей головной болью пользователей мобильных Android-устройств, по-прежнему являются наиболее распространенной и массовой угрозой для этой мобильной платформы. Эти вредоносные программы предназначены для отправки дорогостоящих СМС-сообщений и подписки абонентов на различные контент-услуги, что может повлечь за собой серьезные финансовые потери (при этом жертва даже не будет знать, что деньги списаны с ее счета). Чаще всего они распространяются под видом популярных игр и приложений, а также их обновлений, однако могут встречаться и другие каналы распространения.

Android

Для создания большинства подобных программ не требуется особых знаний, большого количества времени и средств, а получаемая злоумышленниками прибыль от их использования многократно компенсирует все затраты.

Широкое распространение троянцев обусловлено хорошо развитой сетью партнерских программ, которые предлагают весьма выгодные условия оплаты всем своим участникам. Кроме того, летом 2012 года были зафиксированы многочисленные случаи взлома легитимных веб-сайтов, которые модифицировались злоумышленниками таким образом, что пользователи, посещающие их с мобильных устройств, перенаправлялись на мошеннические ресурсы, распространяющие эти вредоносные программы.

Именно благодаря относительной простоте, высокой окупаемости и эффективности применяемых методов распространения семейство Android.SmsSend доминировало в прошедшем году среди остальных вредоносных приложений.

Увеличение риска кражи конфиденциальной информации, негласный мониторинг и кибершпионаж

Учитывая возможности мобильных Android-устройств, а также принимая во внимание продолжающийся рост числа их пользователей, неудивительно, что проблема сохранности конфиденциальной информации становится все более ощутимой. Рискам в этой сфере подвержены все: как простые пользователи, так и представители коммерческого и государственного секторов. Ценные сведения, интересующие злоумышленников, могут быть самыми разнообразными.

Шпионы — пособники спамеров

Сами по себе вредоносные программы, шпионящие за пользователями и крадущие их конфиденциальную информацию, не уникальны и известны достаточно давно. Однако в 2012 году обозначилась четкая тенденция к появлению довольно специфической группы троянцев-шпионов, направленных против жителей Японии. Все они распространялись при помощи спам-писем, в которых пользователям предлагалось установить то или иное «полезное» приложение, начиная от эротической игры и заканчивая оптимизатором расхода аккумулятора.

К этой группе относятся такие вредоносные программы как Android.MailSteal.1.origin, Android.Maxbet.1.origin, Android.Loozfon.origin и Android.EmailSpy.origin. Их основная задача — похищение адресов электронной почты из книги контактов мобильного устройства и отправка их на удаленный сервер. Помимо этого, некоторые троянцы могут отправлять злоумышленникам не только адреса электронной почты, но и всю информацию из телефонной книги, а также идентификаторы устройства, включая номер сотового телефона. Добытая таким образом информация в дальнейшем может быть использована киберпреступниками для организации новых спам-кампаний и для продажи на черном рынке, а для владельцев похищенных адресов это несет потенциальную угрозу фишинг-атак и вероятность заражения их персональных компьютеров самыми разными вредоносными программами, использующими для инфицирования каналы электронной почты.

Узконаправленные атаки — угроза с повышенным риском

Узконаправленные, точечные или таргетированные атаки несут в себе серьезную угрозу, поскольку они, в отличие от большинства обычных атак, направлены не на максимально возможное число пользователей, а на их ограниченный круг, что снижает вероятность оперативного и эффективного обнаружения используемых при преступлении вредоносных программ.

Одним из вариантов точечной атаки является Advanced Persistent Threat или APT-атака. Ее суть заключается в том, чтобы вредоносная программа как можно дольше оставалась в скомпрометированной системе без обнаружения и получила при этом максимально возможный объем ценных сведений. Жертвами обычно становятся различные компании, организации и государственные структуры.

До сих пор под ударом подобных кампаний находились лишь «большие» компьютерные системы, такие как рабочие станции и серверы. Однако в 2012 году была зафиксирована новая APT-атака, в процессе изучения которой обнаружилась вредоносная программа Android.Luckycat.origin. Функциональность троянца включала выполнение команд, поступающих с управляющего сервера, загрузка различных файлов с мобильного устройства и на него, сбор идентификационных данных и некоторые другие возможности.

Несмотря на то, что троянец находился в стадии разработки, и свидетельств его применения на практике не было, факт существования такого инструмента дает серьезное основание полагать, что мобильные Android-устройства в скором времени могут стать такой же привычной мишенью APT-атак, как и обычные компьютеры.

Еще одним инструментом проведения таргетированных атак с целью завладения конфиденциальной и ценной информацией стали мобильные банковские троянцы, крадущие одноразовые коды mTAN. Для обеспечения безопасности финансовых операций в сети Интернет банковские системы отправляют СМС-сообщения с этими кодами на привязанный к клиентскому счету номер мобильного телефона. Чтобы успешно завершить транзакцию, пользователь должен ввести в специальную веб-форму полученный код. Мобильные банковские троянцы предназначены для перехвата СМС-сообщений, кражи этих кодов и передачи их злоумышленникам, которые выполняют различные финансовые операции с электронными счетами ничего не подозревающих жертв (например, совершают онлайн-покупки).

Применение подобных вредоносных программ никогда не было массовым явлением, в том числе и для устройств под управлением Android. В 2012 году мы стали свидетелями появления лишь нескольких новых представителей этого класса троянцев, направленных на мобильную операционную систему от Google. Ими стали Android.SpyEye.2.origin, Android.Panda.2.origin, Android.SmsSpy.6.origin и Android.FakeSber.1.origin.

Android

Типичный способ распространения таких вредоносных программ — социальная инженерия, когда пользователя вводят в заблуждение, предлагая срочное обновление операционной системы или установку некоего сертификата безопасности, необходимого для дальнейшего получения финансовых услуг. Несмотря на то, что случаи появления банковских троянцев для ОС Android являются редкими, проводимые с их помощью атаки весьма эффективны. Именно благодаря неширокой распространенности таких приложений и направленности на пользователей конкретных банковских систем снижается вероятность их быстрого обнаружения и обеспечения необходимой защиты от них.

Среди всех этих вредоносных программ стоит особо выделить Android.FakeSber.1.origin: он стал первым банковским Android-троянцем, направленным против клиентов российского банка. До его появления киберпреступников интересовали лишь зарубежные пользователи. Кроме того, в отличие от своих собратьев, распространяющихся при помощи мошеннических сайтов, данный троянец был помещен злоумышленниками непосредственно в официальный каталог приложений Google Play. К счастью, к моменту, когда троянец был удален из каталога, установить его успели немногие. Тем не менее, потенциальная опасность, которую он представлял, была весьма существенной.

Принцип, по которому работал Android.FakeSber.1.origin, был схож со схемами, применяемыми злоумышленниками в других банковских Android-троянцах. Во-первых, для того чтобы заставить пользователей выполнить его установку, была использована весьма распространенная тактика запугивания: на официальным веб-сайте банка посетителям демонстрировалось сообщение о необходимости авторизации при помощи мобильного телефона (это сообщение отображалось благодаря Windows-троянцу, заразившему компьютеры жертв и работавшему в связке с Android.FakeSber.1.origin). Пользователям предлагалось установить специальное приложение, которое на самом деле и было мобильным банковским троянцем. Во-вторых, попав на мобильное устройство, эта вредоносная программа имитировала ожидаемый функционал, усыпляя бдительность пользователя. В конечном итоге Android.FakeSber.1.origin скрытно перехватывал все входящие сообщения и пересылал полученные из них сведения на удаленный сервер, поэтому помимо mTAN-кодов в руках киберпреступников могли оказаться и другие конфиденциальные сведения, например, частная переписка.

Коммерческое шпионское ПО

Потенциальную угрозу сохранности персональной информации продолжают нести и различные виды коммерческого программного обеспечения для мониторинга и шпионажа. В 2012 году было обнаружено значительное число не только новых модификаций уже известных программ, но и новые представители этого класса приложений. Большинство подобных шпионов может использоваться как легально, с согласия владельца мобильного устройства, так и без его ведома. Для их установки обычно требуется физический доступ к мобильному устройству, однако после установки данные приложения способны скрывать свое присутствие в системе (например, не создавая иконку на главном экране, а также маскируясь под системное ПО). Наиболее распространенными функциями таких шпионов являются отслеживание СМС-сообщений, получение координат пользователя, перехват совершаемых им звонков, а также запись происходящего вокруг в аудиофайл.

Затруднение анализа, разделение функциональности и активное противодействие удалению

Борьба с вредоносными Android-программами при помощи антивирусных средств и постепенное повышение компьютерной грамотности владельцев мобильных устройств на базе ОС от Google заставляет злоумышленников искать способы обхода возникающих трудностей. И если раньше троянцы представляли собой единственный программный пакет, содержащий весь вредоносный функционал, сейчас все чаще встречаются более сложные схемы их построения и работы.

Весьма интересным решением киберпреступников была своеобразная матрешка из трех вредоносных приложений, обнаруженных в мае 2012 года. Дроппер Android.MulDrop.origin.3 содержал в своих ресурсах зашифрованный пакет, который также являлся дроппером (Android.MulDrop.origin.4). Он, в свою очередь, имел в своих ресурсах еще один зашифрованный пакет, представляющий собой троянца-загрузчика Android.DownLoader.origin.2, способного получать с удаленного сервера список приложений для загрузки на мобильное устройство.

Для успешного функционирования разработанной схемы были необходимы root-привилегии, а так как основной дроппер находился в модифицированном злоумышленниками легитимном приложении, для работы которого требовался root-доступ, у пользователей не должно было возникнуть серьезных опасений в связи с необходимостью предоставления ему соответствующих прав. Примененный в данном случае механизм может быть весьма эффективным способом избежать лишних подозрений и увеличить шансы успешного заражения мобильного Android-устройства.

Другим примером разделения функциональности между несколькими вредоносными приложениями являются троянцы Android.SmsSend.405.origin и Android.SmsSend.696.origin. Первый в различных модификациях распространялся в каталоге Google Play под видом сборника обоев для рабочего стола, доступ к которым пользователь мог получить, нажав кнопку «Далее». В этом случае приложение подключалось к облачному сервису Dropbox и загружало второй программный пакет, который являлся СМС-троянцем. По всей видимости, подобным переносом основного функционала во второе приложение, расположенное вне Google Play, злоумышленники пытались обойти систему Bouncer, которая контролирует каталог на предмет наличия вредоносных программ.

Весьма тревожит появление у вредоносных Android-приложений функциональности по противодействию своему удалению. В мае 2012 года был обнаружен троянец Android.Relik.origin, который завершал работу популярных китайских антивирусных средств, а также запрашивал у пользователя доступ к режиму администратора мобильного устройства. В случае активации этого режима другие антивирусные программы уже не смогли бы удалить троянца, однако для избавления от этой вредоносной программы пользователю ничто не мешало убрать вредоносное приложение из списка администраторов.

Идея противодействия удалению в дальнейшем была значительно развита в другом китайском троянце, Android.SmsSend.186.origin. Практически сразу после установки он отображал требование предоставить ему права администратора мобильного устройства, причем в случае отказа требование выводилось вновь до тех пор, пока троянец не получал соответствующие права.

После получения троянцем необходимых прав попытки убрать его из списка администраторов мобильного устройства на некоторых версиях ОС Android заканчивались полным провалом, так как Android.SmsSend.186.origin препятствовал этому, не давая владельцу мобильного устройства зайти в необходимые системные настройки. Антивирусные средства, не располагающие функционалом по нейтрализации таких угроз, также не могли избавить систему от инфицирования, даже если и детектировали вредоносную программу. Самостоятельно же избавиться от троянца было весьма проблематично, поскольку это требовало выполнения ряда нетривиальных действий и определенной доли терпения. Ко всему прочему, эта вредоносная программа распространялась при помощи дроппера, помещенного киберпреступниками в «живые обои», которые при установке не требовали никаких специальных разрешений для своей работы. Таким образом, Android.SmsSend.186.origin представляет собой одну из самых серьезных за последнее время Android-угроз.

Нельзя не отметить тенденцию к росту использования авторами вредоносных программ обфускации кода, которая призвана затруднить анализ троянцев и помешать их детектированию антивирусными средствами. Например, обфускация встречается в целом ряде представителей семейства Android.SmsSend.

Интересные и необычные угрозы

Весьма интересной вредоносной программой, обнаруженной в 2012 году, стал троянец Android.MMarketPay.origin, который самостоятельно покупал приложения в электронном магазине китайского оператора связи China Mobile. Для этого он перехватывал СМС-сообщения с кодами подтверждения совершения покупки, а также обходил проверку captcha, отправляя на удаленный сервер соответствующие изображения для анализа. Целью создания этого троянца могло стать как желание недобросовестных разработчиков увеличить прибыль за счет подобной незаконной продажи своих приложений, так и обычное желание злоумышленников досадить пользователям и сотовому оператору, репутация которого могла заметно пострадать.

Рынок заказных услуг киберпреступников?

Не секрет, что большая часть современных вредоносных программ создается не из простого любопытства — эта сфера незаконной деятельности уже давно стала источником заработка для самых разнообразных групп киберпреступников. И появившихся в 2012 году Android-троянцев Android.Spambot.1.origin и Android.DDoS.1.origin вполне обоснованно можно отнести к инструментам осуществления киберкриминальных услуг. Android.Spambot.1.origin представлял собой троянца, предназначенного для массовой рассылки СМС-спама. Текст сообщений и номера, по которым осуществлялась рассылка, загружались с удаленного сервера, принадлежащего злоумышленникам, поэтому им не составляло большого труда выполнить спам-рассылку для заинтересованных лиц. Чтобы скрыть свою вредоносную деятельность, троянец удалял все сведения об отправляемых СМС, и владельцы инфицированных мобильных устройств могли не сразу обнаружить подозрительную активность. Что же касается Android.DDoS.1.origin, то это — вредоносная программа, предназначенная для осуществления DoS-атак с использованием мобильных Android-устройств. Параметры, необходимые для их проведения, троянец получал посредством СМС-сообщений, в которых указывались имя сервера и требуемый порт. Особенность этой вредоносной программы — в том, что атакуемый сайт мог быть абсолютно любым, поэтому теоретически воспользоваться возможностями этой вредоносной программы могли все, кто проявит должный интерес и заплатит соответствующую цену за оказание незаконной услуги.

Вандализм — редкая, но опасная угроза c деструктивным потенциалом

На фоне общей массы вредоносных Android-приложений, направленных на получение той или иной материальной выгоды, Android.Moghava, обнаруженный весной 2012 года, держится особняком, будучи троянцем-вандалом. Он распространялся в модифицированной злоумышленниками версии приложения — сборника рецептов иранской кухни. Через определенные промежутки времени троянец выполнял на мобильном устройстве поиск JPEG-изображений в каталоге /DCIM/Camera/ и накладывал на них еще одно изображение. В результате этого фотографии пользователя безвозвратно портились.

Обычно вирусописатели создают подобные вредоносные программы с целью громко заявить о себе, либо в качестве мести или простого развлечения. Более редкой причиной является попытка совершить диверсию среди определенной группы лиц. Так или иначе, ущерб от подобных приложений может быть весьма существенным.

31 января 2013 Г.

10:55

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Apple рассчитывает на помощь TSMC в разработке технологии micro-LED: Вопреки слухам, Apple не прекращает разработку micro-LED7

Google решит проблему с разговорным динамиком Pixel 2 в очередном обновлении: Обновление, исправляющее проблему с динамиком Pixel 2, выйдет в ближайшие недели8

Видео дня: Windows 95 и Simcity 2000 на смартфоне Apple iPhone X: Смартфон Apple iPhone X превосходит персональные компьютеры, для которых в свое время создавалась Windows 9524

Qualcomm сможет получить разрешение японских регуляторов на покупку NXP: Сделка между Qualcomm и NXP все может состояться до конца года1

Новый среднебюджетный смартфон Sony получит SoC Snapdragon 630 и ОС Android 8.0: Смартфон Sony H4133 получит Snapdragon 630

Сканер отпечатка пальцев у смартфона OnePlus 5T выполнен из керамики: OnePlus 5T хорошо справился с испытаниями JerryRigEverything

Apple сократила команду, работающую над технологией micro-LED в связи с технологическими проблемами: Устройств Apple с экранами micro-LED в ближайшее время ожидать не стоит11

Производители умных акустических систем в следующем году начнут наделять их нетипичными возможностями: Умные АС получат пико-проекторы и 3D-объективы3

Marvell покупает Cavium примерно за 6 млрд долларов: Капитализация Marvell оценивается в 10 млрд долларов2

В лондонских автобусах будет использоваться биотопливо B20 на основе кофе : Лондонские автобусы будут использовать в качестве топлива кофе17

Смартфону Apple iPhone SE 2 приписывают параметры iPhone 7 и дизайн iPhone 5: Apple iPhone SE 2 может появиться весной 86

В мобильных сетях на долю Android приходится почти 70% заражений вредоносным ПО: iOS почти не подвержена вирусным атакам39

Аналитики прогнозируют рост спроса на плоские панели: Спрос на плоские панели в следующем году покажет существенный рост1

Представлен смартфон Vivo V7 с 24-мегапиксельной фронтальной камерой: Цена новинки составляет около 290 долларов5

Polaroid обвиняет Fujifilm в нарушении прав на квадратные фотографии: И требует многомиллионную компенсацию22

«Заряженная» версия нового Tesla Roadster будет еще более динамичной: Очевидно, что мы услышим еще много обещаний, только проверить их тестеры смогут не раньше 2020 года25

Apple открыла центр для посетителей в своей новой штаб-квартире: Сама территория Apple Park продолжает достраиваться и облагораживаться7

Ученые создали кевларовую хрящевую ткань: Ученые уже провели ряд испытаний, доказав прекрасные характеристики нового материала12

Опубликованы фотографии прототипа смартфона Aurora: Возможно, это Huawei P11 Plus или Nova 34

Promise Technology выпустила хаб с пятью разъемами USB-A, двумя Thunderbolt 3 и слотом для карт памяти SD: Стоит такой аксессуар внушительные 249 долларов10

Смартфон Samsung Galaxy S9 набрал 7787 баллов в Geekbench: В однопоточном тесте результат составил 2680 баллов, в многопоточном устройство набрало 7787 баллов46

Гарнитура Razer Hammerhead получила разъем USB-C: Новинка стоит 80 долларов6

В Германии запретили детские умные часы: В частности, сообщается, что родители подслушивают, что именно говорят учителя на занятиях87

Ulefone Power 3 станет первым долгоиграющим смартфоном, который получит Android 8.1 Oreo из коробки: Выход Ulefone Power 3 ожидается в декабре

Принята спецификация, описывающая оптоволоконное подключение длиной до 2 км, поддерживающее скорость 400 Гбит/с: Такие соединения предназначены для использования в вычислительных центрах

Моноблок Apple iMac Pro получит SoC A10 Fusion для реализации возможности запуска Siri посредством лишь голосовой команды: Моноблок Apple iMac Pro будет постоянно слушать пользователя29

Карманный прибор PocketLab Air позволяет следить за загрязнением атмосферы: PocketLab Air измеряет уровень CO2, озона и твердых частиц8

Смартфоны OnePlus 3 и OnePlus 3T уже начали получать обновление до Android 8.0: Смартфоны OnePlus 3 и OnePlus 3T начали обновляться до Android Oreo1

997
1318

iXBT TV

  • Обзор материнской платы Z370 Aorus Gaming 7 под процессоры Coffee Lake

  • Обзор аккумуляторной дрели-шуруповерта Bosch GSR 12V-15 FC Professional

  • Заводские экзоскелеты, обновление Firefox, слишком умные наушники

  • Репортаж с конференции Supercomputing 2017 (SC17), день 3: стенд группы компаний РСК

  • Репортаж с конференции Supercomputing 2017 (SC17), день 2: стенд Intel

  • Репортаж с конференции Supercomputing 2017 (SC17), день 1: рейтинг Top500

  • Обзор кинотеатрального DLP-проектора LG PF1000U со встроенным ТВ-тюнером

  • Камера Panasonic G9, унитазный робот, игровой смартфон, кепка для водителей

  • Обзор портативной беспроводной колонки Sven PS-460

  • Обзор напольного пылесоса Tefal Silence Force 4A TW6477 с одноразовыми мешками для сбора мусора

  • Обзор сверхширокоугольного зум-объектива Canon EF 16-35mm f/2.8L III USM

  • Обзор изогнутого 34-дюймового IPS-монитора LG 34UC99 с соотношением сторон 21:9 и белым корпусом

1212

Календарь

январь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать