Dr.Web Security Space для Android научился удалять руткиты

---

«Большинство известных Android-троянцев представляет собой относительно простые вредоносные приложения, которые успешно идентифицируют и удаляют не только антивирусы, но и сами пользователи, знакомые с базовыми правилами информационной безопасности. Однако в последнее время вирусные аналитики компании «Доктор Веб» фиксируют все больше вредоносных программ, пытающихся, в частности, получить на заражаемых мобильных устройствах root-привилегии и незаметно установить в системный каталог Android других троянцев, а также рекламное и прочее нежелательное ПО, которое в дальнейшем значительно сложнее обнаружить и удалить.

Один из базовых принципов обеспечения безопасности в ОС Android заключается в особенностях установки прикладного ПО на мобильные устройства. В частности, инсталляция происходит только после того, как пользователь ознакомится с информацией о той или иной программе (включая функции, к которым она будет иметь доступ) и даст окончательное согласие на ее установку. В этой связи вовсе не удивительно, что для обхода данного ограничения некоторые вирусописатели стали снабжать своих троянцев различными root-эксплойтами, дающими неограниченные полномочия на атакуемых смартфонах и планшетах. В результате уже в 2011 году появились вредоносные Android-приложения, которые при помощи различных программных уязвимостей пытались получить системные привилегии, после чего могли устанавливать и удалять ПО без участия пользователя. В частности, к таким троянцам относятся Android.DreamExploid и Android.Gongfu, распространявшиеся в модифицированных вирусописателями программах.

Тем не менее, атаки с применением подобных вредоносных приложений на протяжении длительного времени были достаточно редкими, т.к. подавляющее большинство вирусописателей все же предпочитало использовать вредоносное ПО «попроще». Однако в 2015 году вирусные аналитики компании «Доктор Веб» наблюдают новый всплеск интереса к root-троянцам. При этом если раньше злоумышленники стремились с их помощью лишь незаметно установить как можно больше приложений, чтобы получить от партнерских программ прибыль за каждую успешную инсталляцию, то теперь все чаще они пытаются внедрить вредоносное или нежелательное ПО непосредственно в системный каталог Android. Фактически, киберпреступники хотят заразить мобильные устройства руткитами, которые остаются скрытыми в системе и продолжают свою работу даже если установившую их вредоносную программу позднее найдут и удалят.

Попадая в системную область ОС, подобные троянцы получают расширенные функциональные полномочия и предоставляют злоумышленникам полный контроль над зараженными устройствами, а также неограниченный доступ к хранящейся на них информации. При этом обнаружение таких приложений, еще не известных специалистам по информационной безопасности, значительно усложняется и может потребовать гораздо больше времени по сравнению с идентификацией «обычного» вредоносного ПО для Android.

Но даже после успешного обнаружения Android-руткитов в системном каталоге попытка их удаления сопряжена с определенным риском. Так, в некоторых случаях подобные вредоносные приложения значительно модифицируют программное окружение ОС (например, могут заменить собой оригинальное приложение, необходимое для нормальной работы устройства), в результате чего их деинсталляция способна привести к неработоспособности зараженного смартфона или планшета. Однако даже в таких случаях зараженное мобильное устройство относительно легко вернуть к жизни: для этого достаточно переустановить заводскую прошивку. Тем не менее, некоторые антивирусные компании заявляют, что удаление троянцев, попавших в системную область Android в результате получения root-полномочий, практически невозможно, и пользователям стоит задуматься о замене мобильного устройства.

В действительности же успешная борьба с Android-руткитами вполне осуществима. Так, специалисты компании «Доктор Веб» тщательно анализируют каждое подобное вредоносное приложение и внимательно изучают все случаи их обнаружения в системном каталоге различных мобильных устройств. После того как вирусные аналитики убедятся, что удаление того или иного троянца не приведет к поломке Android-устройства, соответствующий алгоритм лечения вносится в вирусную базу Dr.Web Security Space для Android. Несмотря на то, что это весьма трудоемкий и длительный процесс, с каждым днем число успешно удаляемых из системной области ОС Android троянцев увеличивается. Т. к. обновление программы с соответствующем функционалом было выпущено 19 октября, наши пользователи уже почти месяц могут успешно бороться с сотнями различных модификаций Android-руткитов, которые скрываются в системном каталоге. Для этого антивирусу достаточно предоставить root-полномочия, после чего он сможет уничтожить обнаруженные вредоносные приложения.

Среди обнаруженных в 2015 году вредоносных приложений, пытающихся получить root-полномочия на Android-устройствах и незаметно установить вредоносное ПО в системную директорию, прежде всего стоит отметить троянцев семейства Android.Toorch, о которых стало известно в апреле. Один из них был замаскирован под программу-фонарик и распространялся вирусописателями через популярные в Китае сайты – сборники ПО, а также при помощи агрессивных рекламных модулей, интегрированных в различные приложения. После запуска на целевых мобильных устройствах он пытался повысить свои системные привилегии до уровня root, незаметно устанавливал в системный каталог /system/app один их своих компонентов, а также запускал на исполнение еще один вредоносный модуль. После этого по команде злоумышленников вредоносное приложение могло загружать, устанавливать и удалять указанные ими программы без ведома пользователя.

Другая вредоносная программа, пытавшаяся получить root-доступ на заражаемых устройствах, была внесена в вирусную базу Dr.Web как Android.Backdoor.176.origin. Этот троянец распространялся вирусописателями в модифицированных ими изначально безобидных играх и приложениях. При первом запуске Android.Backdoor.176.origin передает на управляющий сервер подробную информацию о зараженном устройстве, после чего регистрирует несколько перехватчиков системных событий, контролируя, в частности, загрузку ОС, взаимодействие пользователя с экраном, запуск приложений и т. п. При следующем включении инфицированного смартфона или планшета вредоносная программа загружает из Интернета модифицированную версию утилиты Root Master и с ее помощью пытается получить root-доступ в системе. В случае успеха троянец копирует в системный каталог /system/xbin два исполняетмых elf-файла с именами .rt_bridge (Android.Rootkit.1) и .rt_daemon (Android.Rootkit.2), которые представляют собой аналог утилиты su, позволяющей пользователям работать от имени root (администратора) в UNIX-подобных операционных системах.

После запуска Android.Rootkit.1 проверяет, был ли он активизирован одним из процессов троянца Android.Backdoor.176.origin, и, если это так, запускает root-терминал. Затем Android.Backdoor.176.origin загружает из Интернета утилиту chattr и с ее помощью через запущенный ранее терминал устанавливает на собственный apk-файл атрибуты «неизменяемый» и «только добавление к файлу». В результате, даже если пользователь деинсталлирует троянца, после перезагрузки ОС Android.Backdoor.176.origin будет автоматически установлен вновь, и мобильное устройство останется зараженным.

Основное предназначение данной вредоносной программы – незаметная установка и удаление приложений по команде с управляющего сервера. Однако помимо этого троянец передает злоумышленникам подробные сведения о зараженном смартфоне или планшете, отслеживает количество входящих и исходящих вызовов, а также отправленных и принятых СМС-сообщений.

Чуть позднее была обнаружена новая модификация данной вредоносной программы, которая получила имя Android.Backdoor.196.origin. Как и первая версия троянца, она распространяется в модифицированных вирусописателями безобидных играх и приложениях и после запуска аналогичным образом пытается получить root-привилегии, а также защитить себя от деинсталляции. После этого Android.Backdoor.196.origin при помощи метода DexClassLoader запускает свой второй компонент, который, в зависимости от модификации троянца, предварительно загружается с сервера злоумышленников, либо копируется и расшифровывается из ресурсов самой вредоносной программы. В дальнейшем данный модуль, детектируемый Антивирусом Dr.Web для Android как Adware.Xinyin.1.origin, выполняет все вредоносные функции, необходимые злоумышленникам. В частности, он может незаметно загружать и устанавливать различные программы, отправлять СМС-сообщения, отслеживать количество совершенных и принятых звонков, а также полученных и отправленных СМС.

Позже специалисты по информационной безопасности обнаружили еще несколько вредоносных программ, которые пытались получить root-доступ и представляли серьезную опасность для пользователей. Одна из них – Android.Backdoor.273.origin. Этот троянец распространялся в каталоге Google Play под видом безобидного приложения с именем Brain Test и имел ряд интересных особенностей. В частности, перед тем как начать вредоносную деятельность, он проверял IP-адрес домена, через который в данный момент осуществлялось сетевое подключение на целевом мобильном устройстве, и в случае обнаружения соответствия адресам компании Google завершал свою работу. Таким образом злоумышленники пытались обойти антивирусный фильтр каталога Google Play, чтобы успешно разместить в нем троянца. Если вредоносная программа определяла, что ее работе ничто не мешает, она подключалась к управляющему серверу, откуда поочередно скачивала и пыталась выполнить несколько эксплойтов, предназначенных для получения root-доступа на Android-устройствах. Затем в случае успешного повышения системных полномочий троянец загружал с сервера второй вредоносный компонент, который незаметно устанавливался в системный каталог и в дальнейшем по команде злоумышленников мог загружать и скрытно инсталлировать другие программы. А чтобы Android.Backdoor.273.origin как можно дольше оставался на зараженном мобильном устройстве, он устанавливал в системную директорию еще два дополнительных вредоносных приложения, которые следили за тем, чтобы сам троянец, а также его модули не были удалены пользователем. Если какие-либо компоненты Android.Backdoor.273.origin все же деинсталлировалась, данные модули повторно загружали их и устанавливали вновь.

Не меньшую опасность для владельцев Android-смартфонов и планшетов представляет и троянец Android.DownLoader.244.origin. Как и многие вредоносные Android-приложения, он распространялся через популярные сайты – сборники ПО в модифицированных киберпреступниками изначально безопасных программах и играх. После запуска содержащей троянца программы Android.DownLoader.244.origin запрашивает у пользователя доступ к специальным возможностям ОС (Accessibility Service). Если потенциальная жертва согласится предоставить ей необходимые права, вредоносная программа сможет контролировать все события, происходящие на устройстве, а также получит возможность незаметно устанавливать приложения, имитируя действия пользователя и самостоятельно нажимая на кнопки в соответствующих диалоговых окнах, которые будут возникать при попытке инсталляции заданного злоумышленниками ПО. Затем троянец пытается получить на зараженном устройстве root-доступ, после чего по команде с управляющего сервера может загружать и незаметно устанавливать в системный каталог различные программы.

Однако Android-троянцы, получающие root-доступ на заражаемых мобильных устройствах и устанавливающие вредоносное ПО в системный каталог, – не единственная угроза для пользователей. Не меньшую опасность представляют и вредоносные приложения, которые не получают права root самостоятельно, но активно используют их своих целях, если они уже присутствуют в системе. Например, троянец Android.DownLoader.171.origin, который скрывался в приложении с именем KKBrowser и распространялся злоумышленниками через каталог приложений Google Play и другие ресурсы, был установлен не менее чем 1 500 000 пользователями. По команде своих «хозяев» троянец мог загружать, устанавливать и удалять различные программы. В случае если целевые устройства имели root-доступ, Android.DownLoader.171.origin выполнял эти действия незаметно для пользователей, в противном же случае жертвам демонстрировался стандартный системный запрос.

Чтобы обезопасить мобильные Android-устройства от троянцев, которые пытаются получить root-доступ и установить вредоносное ПО в системный каталог, владельцам смартфонов и планшетов необходимо использовать для загрузки приложений только проверенные источники. Также не следует устанавливать ПО, вызывающее хотя бы малейшие подозрения. Кроме того, для защиты от вредоносных, нежелательных и потенциально опасных программ для ОС Android рекомендуется использовать надежный антивирус, способный не только предупредить, но и устранить заражение.»