Android назвали главной мобильной площадкой киберпреступников
Новости Безопасность
Компания «Доктор Веб» представила свой обзор основных Android-угроз, обнаруженных в 2013 году.
«Прошлогодние события в области информационной безопасности снова подтвердили, что операционная система Android окончательно укрепила за собой статус главной площадки по осуществлению незаконной деятельности киберпреступников на мобильном рынке. Свидетельством этого, в частности, является динамика пополнения вирусной базы компании «Доктор Веб»: число новых записей для вредоносных и нежелательных Android-приложений в 2013 году выросло на 1 547 единиц и достигло отметки в 2 814 вирусных описаний. Это на 122% больше, чем число записей на конец аналогичного периода 2012 года. Если же сравнивать текущие значения с показателями 2010 года – периода появления первых вредоносных приложений для ОС Android, – то они составили +9280%, продемонстрировав рост практически в 94 раза», — отмечается в обзоре компании «Доктор Веб».
Для сравнения: общее количество вирусных описаний угроз для других популярных мобильных платформ, таких как BlackBerry, Symbian OS, Java, iOS и Windows Mobile в конце 2013 года равнялось 1600 записям, что в 1,76 раза меньше этого же показателя для Android-угроз.
Согласно статистике «Доктора Веба», в 2013 году, как и прежде, безоговорочными «лидерами» среди всех вредоносных Android-приложений стали троянцы семейства Android.SmsSend. Эти программы, появившиеся еще в 2010 году, предназначены для скрытой отправки дорогостоящих СМС-сообщений, а также подписки пользователей на платные контент-услуги, за пользование которыми с абонентского счета взимается определенная плата. За прошедший год число версий вредоносных приложений семейства Android.SmsSend выросло более чем в 2 раза, достигнув отметки в 1 377 модификаций.
Данные троянцы могут распространяться как в виде самостоятельных программных пакетов, выдаваемых, например, за обновления или инсталляторы известных приложений, так и внутри легитимных программ, модифицированных злоумышленниками. После запуска таких модифицированных программных пакетов пользователь получает ожидаемый функционал, в то время как нежелательные для него действия, такие как отправка СМС-сообщений, остаются незамеченными.
Заметным событием, связанным с троянцами Android.SmsSend в прошлом году, стало обнаружение в сентябре самого крупного за последнее время мобильного ботнета, состоящего из Android-устройств, инфицированных этими вредоносными программами. По оценкам специалистов компании «Доктор Веб» в состав бот-сети входило более 200 000 смартфонов и планшетных компьютеров, а потенциальный ущерб, нанесенный пользователям, мог превысить несколько сотен тысяч долларов. Для заражения мобильных устройств злоумышленники использовали сразу несколько СМС-троянцев, которые маскировались под инсталляторы легитимного программного обеспечения, такого как веб-браузеры и клиенты для работы с социальными сетями.
В 2013 году пользователи Android-устройств также столкнулись с ростом числа случаев распространения относительно новой угрозы, а именно троянцев семейства Android.SmsBot. Данные вредоносные приложения представляют собой логичное продолжение концепции широко распространенного семейства Android.SmsSend: основным их предназначением является все та же несанкционированная отправка премиум-сообщений с целью получения злоумышленниками незаконного заработка. Однако, в отличие от подавляющего большинства предшественников, у которых все параметры работы заранее указываются в конфигурационных файлах или в самом их коде, эти троянцы получают указания к действию непосредственно от киберпреступников, что в значительной мере расширяет их возможности. В частности, при необходимости ими может быть задан новый текст СМС-сообщения и целевой номер, на который будет осуществлена его отправка. Многие версии троянцев Android.SmsBot способны по команде выполнять и другие действия, например, загрузку прочих вредоносных программ, удаление определенных СМС, сбор и отправку информации о мобильном устройстве на удаленный сервер, совершение звонков. Кроме того, отдельные модификации этих вредоносных приложений могут запрашивать состояние баланса мобильного счета при помощи USSD- или СМС-запросов и, в зависимости от результата, получать от управляющего сервера указание выполнить отправку сообщения на номер с определённой стоимостью.
Остро вставшая в 2012 году проблема сохранности персональной информации пользователей мобильных Android-устройств получила дальнейшее развитие и в минувшем году: на протяжении последних двенадцати месяцев наблюдался значительный рост числа вредоносных программ, направленных на кражу тех или иных конфиденциальных сведений у владельцев смартфонов и планшетов под управлением ОС Android. Среди подобных угроз в первую очередь следует выделить большое количество новых банковских троянцев, к которым относятся вредоносные программы семейств Android.Tempur и Android.Banker, представители семейств Android.SmsSpy, Android.SmsForward, Android.Pincer и Android.Spy, а также ряд других. Большинство этих троянских приложений либо имитирует интерфейс настоящих мобильных банковских клиентов и обманным способом заставляет пользователей предоставить свои персональные данные, либо устанавливается под видом важных программных обновлений или сертификатов и в дальнейшем позволяет злоумышленникам перехватывать все входящие СМС-сообщения, в которых может содержаться различная секретная информация – например, одноразовые mTAN-коды систем «банк-клиент», пароли, личная переписка и другие ценные сведения.
Как отмечается в обзоре компании «Доктор Веб», улучшения, вносимые в операционную систему Android от версии к версии, увеличивают ее надежность и безопасность, однако время от времени в ней все же обнаруживаются те или иные уязвимости, позволяющие киберпреступникам проводить различные атаки, в том числе с применением вредоносных программ. И если в 2012 году не было зафиксировано появление критических уязвимостей или сколь-нибудь серьезных инцидентов с участием использующих их троянских приложений, то за последние 12 месяцев было выявлено сразу несколько программных ошибок, которые могли позволить злоумышленникам обойти встроенные механизмы защиты платформы Android и увеличить эффективность распространения Android-троянцев. В частности, наиболее заметные уязвимости, получившие название Master Key (#8219321), Extra Field (#9695860) и Name Length Field (#9950697), позволяли выполнить модификацию программных пакетов таким образом, что при внесении в них вредоносного функционала целостность их криптографической подписи не нарушалась, и во время установки они рассматривались ОС Android как немодифицированные.
Примечательно, что найденные ошибки основывались на некорректных методах интерпретации и обработки операционной системой определенных особенностей формата zip-файлов – архивных пакетов, составляющих основу для Android-приложений и содержащих все их компоненты. В случае с Master Key это выражалось в возможности разместить внутри apk-файла (zip-архива, имеющего расширение «.apk») двух файловых объектов, имеющих одинаковое имя и располагающихся в одном подкаталоге. В результате во время установки измененного таким образом приложения система безопасности Android игнорировала исходный файл и принимала внедренный дубликат за оригинал.
Вторая уязвимость – Extra Field – теоретически также позволяла внедрять в Android-приложения троянский функционал, для чего требовалась некоторая модификация структуры zip-архива: при добавлении в его служебное поле значения одного из оригинальных компонентов программы (в частности файла classes.dex) без трех первых байт с одновременным размещением на его месте модифицированной версии этого файла, последняя воспринималась операционной системой как легитимная и допускалась к установке. Несмотря на то, что потенциальное использование этой уязвимости ограничено размером dex-файла, который должен составлять не более 65533 байт, заинтересованные в атаке киберпреступники вполне могут без труда ей воспользоваться, взяв за основу безобидную программу или игру, имеющую соответствующего размера компонент.
Что же касается уязвимости Name Length Field, то для ее использования, как и в двух предыдущих случаях, аналогичным образом требуется внесение определенных изменений в структуру программного пакета, а также наличие внутри него двух файлов – исходного и модифицированного – имеющих одинаковое имя. Во время установки такого приложения оригинальный файл корректно считывается одним из компонентов ОС Android, однако в дальнейшем другой ее компонент обрабатывает только измененный файл, который ошибочно считается единственно верным.
Все apk-файлы, в которых используются эти и похожие программные ошибки, детектируются антивирусными средствами Dr.Web для Android как Exploit.APKDuplicateName.
Еще одной обнаруженной в 2013 году потенциально опасной особенностью ОС Android стала возможность установки apk-пакетов, имеющих в своей структуре искусственно внесенный указатель на присутствие пароля для zip-архива. Наличие этого указателя не препятствовало установке приложения на некоторых версиях операционной системы, однако затрудняло сканирование антивирусными средствами, которые корректно обрабатывали такой программный пакет как защищенный паролем, что делало невозможным обнаружение известных вредоносных приложений. В частности, эта методика была использована создателями троянца Android.Spy.40.origin, обнаруженного специалистами компании «Доктор Веб» в октябре. Данная вредоносная программа предназначалась, главным образом, для перехвата входящих СМС-сообщений, однако могла также выполнять и некоторые другие функции.
В 2013 году также значительно увеличилось число случаев применения вирусописателями специальных приемов, затрудняющих проведение анализа вредоносных Android-приложений, а также усложняющих процесс их обнаружения и удаления на мобильных устройствах. В частности, одной из наиболее распространенных методик самозащиты в Android-троянцах стало использование стандартной системной функции администратора устройства, когда приложению даются расширенные полномочия, такие как возможность управления блокировкой экрана, запроса пароля при выходе из ждущего режима и даже выполнение сброса параметров к заводским установкам с потерей всех имеющихся данных. Главной причиной, по которой данная опция в последнее время так полюбилась киберпреступникам, стало то, что попытка стандартным способом удалить входящую в список администраторов вредоносную программу приводит к ошибке.
И если в общем случае такая ситуация не является проблемой для опытных пользователей – троянца всего лишь необходимо лишить соответствующих полномочий – то множество менее подкованных в техническом плане владельцев Android-устройств сталкивается с затруднениями по очистке мобильного устройства от инфекции. Подобный метод защиты встречается, например, в ряде троянцев-шпионов, а также у некоторых СМС-троянцев.
Однако в ряде случаев простого отключения полномочий администратора может быть недостаточно: иногда создатели вредоносных Android-приложений идут еще дальше и вносят в их функционал контроль активности данного режима, и если пользователь пытается его отключить, «хитрые» троянцы предпринимают попытки не допустить этого. Например, они могут препятствовать открытию системных настроек или выводить запрос на получение нужных прав до тех пор, пока пользователь не согласится это сделать.
Еще одной проблемой безопасности пользователей мобильных устройств становится растущее распространение на рынке коммерческих систем для защиты Android-приложений от декомпиляции, взлома и модификации, т. к. подобные механизмы могут быть использованы не только разработчиками легитимных программ, но также и создателями троянских приложений.
За последние 12 месяцев также существенно увеличилось количество новых представителей троянцев семейства Android.Fakealert – поддельных антивирусных средств, ложно сигнализирующих о наличии на мобильном устройстве различных угроз и предлагающих за определенную плату обезвредить их. В минувшем году объем записей в вирусной базе компании «Доктор Веб» для этих вредоносных приложений вырос в 5 раз, и их общее число составило 10 единиц. Наиболее заметной среди всех обнаруженных модификаций этих троянцев стал Android.Fakealert.10.origin, распространявшийся под видом приложения для просмотра видео категории «для взрослых». После запуска эта вредоносная программа имитировала внешний вид существующего в действительности антивируса и демонстрировала предупреждение о необходимости выполнить проверку мобильного устройства на наличие заражения. Найденные в дальнейшем «угрозы» тут же предлагалось обезвредить, купив для этого якобы полную версию программы.
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
Ищете, где скачать бесплатные программы?
Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
|
|
Программы для Windows
Программы для Linux
Приложения для Android
Приложения для iPhone