Новости из Блогов Сводный обзор сравнительно недавно обнаруженных образцов вредоносного ПО для Android.

Discussion in 'Мировые новости. Обсуждения.' started by Alex_gan, 14 Mar 2016.

  1. Alex_gan

    Alex_gan Member

    Joined:
    24 Feb 2016
    Messages:
    92
    Likes Received:
    69
    Reputations:
    4
    [​IMG]

    Несмотря на активные попытки Google и OEM-производителей улучшить ситуацию с безопасностью Android, открытый характер ОС вкупе с любопытством и / или нежеланием пользователей платить за приложения продолжает вставлять им палки в колеса. Причем авторы подобных приложений не стоят на месте, придумывая новые схемы вовлечения ничего не подозревающих пользователей в свой план по обогащению / получению необходимой информации или ресурсов. Врага нужно знать в лицо и уметь с ним бороться, благо способы существуют и они совсем не сложные. Итак, знакомимся / вспоминаем.

    GhostPush, Shedun, Kemoge и Shuanet
    Речь пойдет о семействе вредоносного программного обеспечения из четырех представителей, объединенных практически идентичным программным кодом, схожим воздействием на устройства и используемыми эксплойтами (Memexploit, Framaroot, ExynosAbuse). По данным Lookout, за пределами Google Play насчитывается до 20 000 зараженных приложений, от которых преимущественно страдают пользователи в Германии, Иране, России, Индии, Ямайке, Судане и Бразилии.

    Открытый в сентябре прошлого года компанией Cheetah Mobile новый тип вредоносного ПО благодаря своей способности быстро и незаметно распространяться по устройствам был назван GhostPush (ghost — призрак). Заражению подверглись порядка 900 000 смартфонов и планшетов на базе Android по всему миру, что нельзя назвать частным случаем. Троянец внешне маскируется под популярные программы (Calculator, Smart Touch, Assistive Touch, Talking Tom 3, Easy Locker, Privacy Lock и др.) и, проходя защиту, может попасть даже в Google Play или Amazon Store. Попадая на устройство, GhostPush получает полный контроль над устройством на уровне root-доступа. После этого хакеры могут без ведома владельца устанавливать на устройство рекламные приложения, причем совсем не бесплатные: по данным Cheetah Mobile, доход от подобной схемы мог составлять до четырех миллионов долларов в день.

    [​IMG]

    Что примечательно, GhostPush (как и два следующих типа вредоносного ПО) невозможно удалить с устройства, не помогает даже полный сброс до заводских настроек. Так что владельцу зараженного устройства светит лишь покупка нового. Впрочем, не всё так мрачно: «первооткрыватели» GhostPush выложили в Google Playприложение, которое предупреждает пользователя о возможной угрозе при скачивании зараженного приложения. Мы еще вернемся к способам защиты от подобного вредоносного ПО.

    [​IMG]

    Shedun во многом похож на предыдущий тип ПО: тот же скрытый характер распространения, аналогичный доступ к системным функциям устройства. Однако, этот тип вредоносного софта отличается более тонким подходом к обману пользователя: он не только скачивает ненужные пользователю приложения, но и устанавливает их с получением доступа к специальным возможностям — ряду настроек для альтернативных способов управления устройством. Shedun использует преимущества этой стандартной функции, а не её уязвимость. Получив доступ к специальным возможностям, Shedun сможет считывать появляющийся на экране текст, определять, что на нём отобразилось предложение установить ПО, прокручивать список разрешений и соглашаться на установку без участия пользователя. Тем самым, гарантируется установка и исполнение рекламируемых приложений, что в свою очередь увеличивает прибыль мошенников. Подобный класс вредоносного ПО быстро развивается и не оставляет пользователю никакого выбора, заставляя его насильно пользоваться тем или иным приложением и способствовать обогащению кибер-преступников.

    [​IMG]

    Shuanet также во многом похож на предыдущие версии троянцев, за исключением того, что в отдельных случаях он оставляет оригинальные приложения невредимыми и вполне рабочими, затрудняя обнаружение. Маскируется эта разновидность под клиенты популярных мессенджеров и социальных сетей, а также игру Candy Crush. После установки Shuanet, как и уже упомянутые троянцы, автоматические получает права суперпользователя, скачивает нужное ПО и переносит скачанное зловредное приложение в системный раздел, препятствуя его удалению. Shuanet не встречается в Google Play, но, тем не менее, нужно следить за тем, что вы устанавливаете на своё устройство.

    Пожалуй, больше всего шума из этой «семейки» наделал Kemoge, также известный как ShiftyBug. В его основе всё та же идея: рекламное приложение. замаскированное под один из популярных продуктов, получение root-доступа, управление устройством с целью обогащения. Kemoge использует для своих целей 8 эксплойтов, которые направлены на взлом защиты и большинство которых атакует устройства Samsung. Вредоносное ПО работает даже на устройствах с root-доступом и зачастую избегает обнаружения, варьируя время обращения к серверу aps.kemoge.net, в честь которого оно и было названо. После активации на устройстве, ПО собирает информацию о нём (IMEI, IMSI, память, установленные приложения) и отправляет её на сервер с рекламой и впоследствии вне зависимости от текущей активности пользователь будет видеть на устройстве надоедливую рекламу. Также, после сбора и отправки информации устройство с Kemoge получает в ответ с сервера ссылки на скачивание рекламных приложений и команды на удаление оригинальных приложений и наполнение устройства вредоносным кодом. Засчет него Kemoge способен выдавать фишинговые страницы в процессе оплаты чего-либо посредством банковской карты, воруя реквизиты и получая доступ к карте. Данный «вредитель» может затронуть сравнительно больше устройств в более, чем двадцати странах мира.

    Подводя итог обзору этого семейства вредоносного ПО, необходимо остановиться на правилах, которым должен следовать пользователь во избежание заражения устройства одним из троянцев:

    • Не переходить по подозрительным ссылкам в электронной почте, текстовых сообщениях, на веб-сайтах и рекламных баннерах
    • Не устанавливать и запретить автоматическую установку сторонних приложений.
    • Следить за тем, чтобы устройство было обновлено до актуальной официальной версии прошивки. Обновления закрывают известные уязвимости, хоть и не гарантируют стопроцентную защиту.
    • В некоторых случаях рекомендуется постоянное использование VPN
    [​IMG]
    Mazar Bot

    В контексте темы материала нельзя не упомянуть обнаруженный примерно в то же время, что и GhostPush новый тип «malware» под названием Mazar Bot. Распространение происходит менее изощренным способом — ссылкой в SMS / MMS сообщениях. Переход по ссылке ведёт к скачиванию приложения, через которое впоследствии и происходит атака. Приложение соединяется с сервером и отправляет SMS на иранский номер с целью передать местоположение устройства. Получив доступ к смартфону, злоумышленники могут контролировать устройство по собственному желанию, отправлять сообщения на премиум-номера, читать входящие сообщения (в т.ч. и коды аутентификации платежей) и прерывать звонки. Но это еще не всё. Используя прокси-протокол Polipo, преступники могут осуществлять так называемые атаки посредника (компрометация канала связи с подменой сообщений одного или обоих корреспондентов без их ведома). Вдобавок ко всему, Mazar Bot способен встраивать свой код в Chrome, контролировать клавиши устройства, активировать спящий режим и изменять параметры в настройках.

    Код Mazar Bot чрезвычайно сложно определить антивирусом (3/54 по версии VirusTotal). Этот факт вкупе с выбором способов атаки на устройства обусловил популярность ПО, о чем свидетельствует продажа соответствующего кода на нескольких сайтах в даркнете. Тем не менее, у Mazar Bot есть странная особенность: ПО проверяет региональную принадлежность устройства и отменяет запуск приложения, если устройство имеет российское «происхождение». Что ж, можно не опасаться, но напрашиваются определенные мысли. Методы защиты от Mazar Bot аналогичны вышеупомянутым.

    Оригинальные материалы: 1, 2, 3, 4, 5

    Elir: кибер-преступность постепенно переходит на новый уровень взаимодействия с потенциальными жертвами, и нам, как пользователям, необходимо четко понимать, как себя вести в сети, чего не стоит делать и куда не стоит заглядывать, знать врагов в лицо. И если в сценарии «злобной семейки» можно посочувствовать пользователям, то случай с Mazar Bot вызвал вполне резонный вопрос: неужели люди до сих пор используют MMS? Да, популярные мессенджеры не отличаются стопроцентной защитой частной информации, но хотя бы есть шанс, что они не пропустят подобные вредоносные ссылки. Повторю высказанную в одном из выпусков мысль: наша безопасность в сети является следствием наших действий, которые могут быть не всегда правильными и адекватными. Будьте внимательны и следуйте простым правилам.

    Источник http://android.mobile-review.com/articles/discussion/42152/
     
  2. paranoy777

    paranoy777 Banned

    Joined:
    23 Jan 2016
    Messages:
    70
    Likes Received:
    25
    Reputations:
    10
    Чувствую надо пользоваться nokia 3310
    И только тогда все будет хорошо)
     
  3. svetoslavhorobriy

    Joined:
    9 Oct 2016
    Messages:
    26
    Likes Received:
    9
    Reputations:
    0
    Мдя) уж лучше тогда вообще на коммутатор перейти и телефоном не пользоваться. Просто нужно следовать советам по безопасности, а так же быть внимательным! Это реальное средство защиты от таких угроз.
     
  4. DooD

    DooD Elder - Старейшина

    Joined:
    30 Sep 2010
    Messages:
    1,168
    Likes Received:
    442
    Reputations:
    288
    бредятина, как это установился и не помогает ниче надо покупать новый?вы слышите себя?)
    а по факту, ничего суперособенного, андролок и то реже.
     
    Anklav likes this.
  5. Anklav

    Anklav Active Member

    Joined:
    14 Aug 2016
    Messages:
    165
    Likes Received:
    113
    Reputations:
    4
    Бредово звучит. А wipe не судьба сделать? И где оно тогда может остаться?
    А, ну теперь понятно. И мне, естественно, нужно поскорее скачать это приложение. Ибо google play market не может обнаружить подвоха а вот это приложение может!
    Вопрос "на засыпку": как, в таком случае, знать что в нём нету такого же троянца? :D