Cайт веб-разработчика, программиста Ruby on Rails ESV Corp. Екатеринбург, Москва, Санкт-Петербург, Новосибирск, Первоуральск

Вредоносное ПО для Android становится все более изощренным

Поскольку мобильная операционная система Android является одной из наиболее распространенных, злоумышленники постоянно разрабатывают все новые и новые вредоносы для этой ОС. В принципе, ПО такого рода появляется каждый день, и большинство программ особого упоминания не заслуживает. Но есть и adware, принцип внедрения и работы которого весьма интересен (а для неопытного пользователя — и очень опасен).

Распространяется adware, о котором идет речь, вполне испытанным среди злоумышленников способом: перепаковываются обычные приложения от Twitter, Facebook или даже Okta (сервис двухфакторной аутентификации). Эти приложения с трояном загружаются не в каталог Google Play, а на сторонние ресурсы/каталоги, многие из которых также весьма популярны. С точки зрения пользователя, который пытается скачать какое-то из троянизированных приложений, все хорошо, при этом во многих случаях программа после установки работает, как нужно. Но во время установки на телефон жертвы устанавливается и мощное приложение-троян, которое использует эксплоиты для получения рута. Эксплоиты, найденные в трех семействах таких приложений (Shedun, Shuanet, и ShiftyBug) позволяют устанавливаться зловреду в качестве системного приложения с соответствующим статусом, который имеют только системные процессы.

«Для обычных пользователей получение такого вредоноса, как Shedun, Shuanet, или ShiftyBug может означать необходимость похода в магазин за новым телефоном», — говорит представитель компании по информационной безопасности Lookout, которая и занимается изучением вредоносного ПО для Android. И действительно, обычным образом удалить приложения не удастся — у них системный приоритет, поэтому не поможет ничего.

Злоумышленники, по словам экспертов, перепаковывают тысячи популярных приложений, размещая затем зараженные программы на сторонних download-ресурсах. Перепакованное ПО с упомянутыми выше троянами найдены на сайтах США, Германии, Ирана, России, Индии, Ямайки, Судана, Бразили, Мехико, Индонезии. Информации о том, что зараженные приложения попали в Google Play, пока нет.

Интересно, что каждая из указанных программ-зловредов использует целый набор эксплоитов для ряда наиболее популярных мобильных устройств. К примеру, ShiftyBug оснащен минимум 8 различными эксплоитами.

Сейчас одна из разновидностей упомянутых выше приложений получила возможность загружать на телефон жертвы adware, даже если тот отказывается от установки, нажимая на соответствующую кнопку. Эта программа также относится к семейству Shedun, adware, распространяющихся уже указанным выше способом. Зловред обманывает жертву, используя Android Accessibility Service. После установки на телефон программа получает возможность показывать всплывающую рекламу со ссылками на adware. Даже, если пользователь отказывается от установки, Shedun, используя Accessibility Service, устанавливает adware.

По словам специалистов по информационной безопасности, Shedun в данном случае не использует уязвимость сервиса. Вместо этого используются вполне легальные возможности Android. После разрешения использовать accessibility service, Shedun получает возможность читать текст, появляющийся на дисплее, определять, что запрашивает приложение, просматривать список разрешений и самостоятельно нажимать на кнопку установки, причем делается все это в автономном режиме, без участия пользователя.

habrahabr.ru