Поскольку мобильная операционная система Android является одной из наиболее распространенных, злоумышленники постоянно разрабатывают все новые и новые вредоносы для этой ОС. В принципе, ПО такого рода появляется каждый день, и большинство программ особого упоминания не заслуживает. Но есть и adware, принцип внедрения и работы которого весьма интересен (а для неопытного пользователя — и очень опасен).
Распространяется adware, о котором идет речь, вполне испытанным среди злоумышленников способом: перепаковываются обычные приложения от Twitter, Facebook или даже Okta (сервис двухфакторной аутентификации). Эти приложения с трояном загружаются не в каталог Google Play, а на сторонние ресурсы/каталоги, многие из которых также весьма популярны. С точки зрения пользователя, который пытается скачать какое-то из троянизированных приложений, все хорошо, при этом во многих случаях программа после установки работает, как нужно. Но во время установки на телефон жертвы устанавливается и мощное приложение-троян, которое использует эксплоиты для получения рута. Эксплоиты, найденные в трех семействах таких приложений (Shedun, Shuanet, и ShiftyBug) позволяют устанавливаться зловреду в качестве системного приложения с соответствующим статусом, который имеют только системные процессы.
«Для обычных пользователей получение такого вредоноса, как Shedun, Shuanet, или ShiftyBug может означать необходимость похода в магазин за новым телефоном», — говорит представитель компании по информационной безопасности Lookout, которая и занимается изучением вредоносного ПО для Android. И действительно, обычным образом удалить приложения не удастся — у них системный приоритет, поэтому не поможет ничего.
Злоумышленники, по словам экспертов, перепаковывают тысячи популярных приложений, размещая затем зараженные программы на сторонних download-ресурсах. Перепакованное ПО с упомянутыми выше троянами найдены на сайтах США, Германии, Ирана, России, Индии, Ямайки, Судана, Бразили, Мехико, Индонезии. Информации о том, что зараженные приложения попали в Google Play, пока нет.
Интересно, что каждая из указанных программ-зловредов использует целый набор эксплоитов для ряда наиболее популярных мобильных устройств. К примеру, ShiftyBug оснащен минимум 8 различными эксплоитами.
Сейчас одна из разновидностей упомянутых выше приложений получила возможность загружать на телефон жертвы adware, даже если тот отказывается от установки, нажимая на соответствующую кнопку. Эта программа также относится к семейству Shedun, adware, распространяющихся уже указанным выше способом. Зловред обманывает жертву, используя Android Accessibility Service. После установки на телефон программа получает возможность показывать всплывающую рекламу со ссылками на adware. Даже, если пользователь отказывается от установки, Shedun, используя Accessibility Service, устанавливает adware.
По словам специалистов по информационной безопасности, Shedun в данном случае не использует уязвимость сервиса. Вместо этого используются вполне легальные возможности Android. После разрешения использовать accessibility service, Shedun получает возможность читать текст, появляющийся на дисплее, определять, что запрашивает приложение, просматривать список разрешений и самостоятельно нажимать на кнопку установки, причем делается все это в автономном режиме, без участия пользователя.
P.S. Мы проводим второй этап акции специально для читателей Хабра. Пост с подробностями тут.
Комментарии (28)
XogN
20.11.2015 22:15В некоторых случаях, пользователь сможет восстановить исходную прошивку и самостоятельно. Для Sony, например, через Sony Update Service.
Для некоторых других производителей есть сходные решения.
Это не намного сложнее, чем разрешить установку приложений не из Google Play в настройках безопасности.
А ведь без этого приложения из сторонних источников не поставить.
hwsun
21.11.2015 18:22LG можно в пару кликов прошить через LG Flash Tool. Все делается так просто, что после своего HTC я не мог в это поверить.
nikitasius
21.11.2015 01:30Ubuntu touch все ближе и ближе! Возрадуемся же!
forgotten
22.11.2015 10:10Ну канеш, портировать вирус с одного линукса на другой — непосильная задача.
bigfatbrowncat
22.11.2015 14:38Если Ubuntu Touch будут использовать 5% населения (а так и будет, скорее всего), причем они будут в основном прошаренными гиками, то вирусов там будет не больше, чем на убунте десктопной.
lampa
23.11.2015 14:30Допустим, я иногда качаю приложения с 4pda или других подобных ресурсов, откуда я могу знать, что в приложении нет вируса? Какая тут разница между убунту тач и андроидом?
bigfatbrowncat
23.11.2015 17:33Тем, что «продвинутые люди» будут собирать софт для Ubuntu Touch самостоятельно. Или, по меньшей мере, качать его непосредственно у авторов, его произведших, а не с сомнительных пиратских агрегаторов.
lampa
23.11.2015 17:35Это утопия утопий)
bigfatbrowncat
23.11.2015 17:59В случае с «альтернативной ОС»? Думаю, что если вы попробуете среди людей, знающих слово «Андроид» (даже исключив из их числа тех, кто пишет это слово через «й») провести опрос «Что такое Ubuntu Touch?», скорее всего из двадцати ответ даст как раз один. И, думаю, у этого «одного» нет вирусов на его мобильнике.
lampa
23.11.2015 18:07Я имел ввиду, что сама идея «собирать самостоятельно» провальна даже среди разработчиков. Нет, ну вы сами подумайте, каждый раз нужно что-то компилировать на устройстве (а это время), а вдруг китайцы какой-то компонент забыли добавить в прошивку, этот компонент только под рутом можно поставить. А логи получить — это надо ставить драйвера, подключать отладчик и потом еще собирать сам компонент, который опять не будет собираться, потому что уже на компе нет какого-то модуля. Знаете, я иногда админю сервер, и недавно собирал ffmpeg, и мне жутко не нравится, когда на это я затрачиваю пол дня. А допустим, репозиторий ломанули и вы опять же скачали исходники с вирусом. Не будете же вы весь код просматривать перед установкой?) А как же платные приложения?
bigfatbrowncat
25.11.2015 14:09Какие еще платные приложения под мою Убунту? :)
Не цепляйтесь за слово «компилировать». Я там рядом написал «качать его непосредственно у авторов, его произведших». Надо было, конечно, поменять эти варианты местами, чтобы были рассортированы по приоритетам.
> А допустим, репозиторий ломанули и вы опять же скачали исходники с вирусом
Я эту страшилку слушаю лет 10. Много реальных случаев вы встречали?
Принцип прост. Чем более децентрализована система, тем труднее ее взломать целиком. Когда каждый разработчик отдельно предоставляет для скачивания свой продукт на своем сайте, причем используют разный сервер и каждый делает свою систему обновлений, то в этом зоопарке и взлом — единичная ручная работа.
Когда все приложения кладутся в общий магазин, то взлом этого магазина компрометирует всех.
Поэтому давайте называть вещи своими именами. Магазин — это
1. Удобно для юзера (проще искать и выбирать)
2. Удобно для разработчика (стандартный способ заливки, стандартные системы безопасности)
Но платить за эти плюсы приходится более низкой устойчивостью к зловредам, как бы нас ни убеждали в обратном маркетологи. Стандартизация всегда снижает устойчивость к взлому, потому что взлом тоже можно поставить «на поток». Не верите? Посмотрите, как много разных «кряков» делали для игр в до-Steam-овскую эпоху. И как сейчас штампуют пиратки со Steam-а.
nikitasius
22.11.2015 21:36Не ну ты сравнил. Убунту на мобильнике и кастрат-андроид с гугловскими свистоперделками.
Мне надо, я скачал firefox, я скачал mc, я скачал любой нуженый мне софт, я его скомпилил и оно работает.
Какой к черту маркет и прочий треш?
Как правильно заметил оратор комментом ниже, не больше чем на убунте текущей.
На андроиде тоннысистемногогуглового говна работают от старта до старта и это крайне ненормальная ситуация. У меня сейчас nexus4 с андроидом 4.3 и софтом, который я там ставил в середине 2014го года, с отключенной подгрузкой ММС.
И почта, фф и звонилка там идеальны как и файловый манагер. Так что, когда китайцы выпустят новый девайс на свежих процессорах, я себе с радостью его куплю и поставлю на него убунту. И она будет работать как часы и я ее буду обновлять когда мне того надо, как и настраивать как мне это надо, без беготни вокруг до около с разлочкой загрузчика и установкой supersu и иже с ними.
Mixim333
21.11.2015 08:29Только вчера спорили с коллегами: «Нужен или нет антивирус на смартфоне?». Сам использую антивирус на Android еще с Nokia E65 и как-то раз это избавило мой телефон от заражения каким-то трояном при передаче файлов по Bluetooth. Но опять же, если не сопрягаться с черт знает какими устройствами, не устанавливать приложение ни пойми откуда (о чем и свидетельствует статья) и аккуратно использовать интернет на телефоне, то антивирус да, в принципе, не нужен.
Mikhail_dev
21.11.2015 23:21Вот хорошая история о том, почему антивирус приносит мало пользы
Mikhail_dev
25.11.2015 16:41Интересно, у минусующих кроме инстинкта кликания, есть умение обосновывать свои действия?
Wedmer
22.11.2015 12:22Сам использую антивирус на Android еще с Nokia E65
А Nokia E65 имела на борту Android?
k_d
21.11.2015 09:15Mixim333 Разные случаи бывают. Приложение может успешно обойти google bouncer, и пару недель пролежать на google play, при этом иметь внутри кучу malicious функциональности. Или, к примеру предустановленный оператором/вендором софт может содержать уязвимости, которые дают удаленный доступ к устройству.
QtRoS
21.11.2015 12:24Опасность установки ПО из недостоверных источников предвидели еще в старые добрые времена Android 1.x (насколько я помню), так что не считаю метод изощренным, скорее напрашивающимся!
Cheater
22.11.2015 14:18> «Для обычных пользователей получение такого вредоноса, как Shedun, Shuanet, или ShiftyBug может означать необходимость похода в магазин за новым телефоном», — говорит представитель компании по информационной безопасности
Какой тонкий маркетинг. Главное — не рассказывать покупателям про лечение через factory reset, нечего тут, пусть идут покупать новый смартфон каждый раз.Wedmer
22.11.2015 15:25Factory Reset потрёт только пользовательские данные настройки, установленный софт. Если зловред себя ещё куда прописал, то тут действовать иначе нужно.
grishkaa
23.11.2015 04:01Была статья про «вирус», который получает рут и ставит себя в /system. От этого поможет только прошить оригинальную прошивку поверх того, что там получилось.
petrovichtim
23.11.2015 10:04Об этих опасностях я предупреждал в последнем номере Хакера.
Первое, что нужно понять, так это запретить приложениям давать доступ к сервису спец возможностей.
Второе, если вас троян уже поразил, но вы ему не дали доступа к этим сервисам, то попробуйте удалить последние установленные приложения. Есть вероятность, что троян ещё не проник глубоко в систему.
Третье, если все совсем запущено и смартфон живет своей жизнью, то нужно все перепрошивать под корень.
Wedmer
>Для обычных пользователей
>получение такого вредоноса, как
>Shedun, Shuanet, или ShiftyBug может
>означать необходимость похода в
>магазин за новым телефоном
А сервисные центры не котируются уже? Проблема решается стиранием флеша в крайнем случае. Обычно достаточно развернуть стоковый образ прошивки.
Yoto
Последний раз моя знакомая именно с сервисного центра получила вредоноса, хотя пришла с погнутым usb-входом :/
Wedmer
Не все сервисные центры одинаково полезны.