С точки зрения борьбы с мобильным вредоносным кодом третий квартал 2013 года был весьма напряженным и богатым на разного рода ухищрения вирусописателей. Вирусы для Android стали достаточно популярными, и огромная масса пользователей устройств доказывает, что проще всего атаковать устройства, напрочь лишенные качественного сервиса обновления ПО. По статистике, более 70% устройств (не модели, а штуки) на Android не получают обновления безопасности системы, а все устройства получают обновления с интервалом в полгода, что позволяет достаточно долго эксплуатировать уязвимости злоумышленикам.
В то время, как Apple и Microsoft достаточно регулярно обновляют свои устройства и заботятся о безопасности своей целевой аудитории, Open-Source идеология системы Android и слабая активность производителей устройств защищать свою продукцию при помощи обновлений делает плодородную почву для роста вирусной деятельности
Новинки от вирусописателей
Этот квартал можно смело назвать кварталом мобильных ботнетов. Создатели самых распространённых SMS троянцев стараются более интерактивно управлять своим хозяйством. Так, для управления ботами вирусописатели стали использовать Google Cloud Messaging. Этот сервис позволяет через сервера Google передавать на мобильное устройство небольшие сообщения в формате JSON, и злоумышленники стали его использовать как дополнительный C&C для своих троянцев.
Такое взаимодействие защитным решениям нелегко выявить. Обработкой команд, полученных с GCM, занимается система, и заблокировать их непосредственно на зараженном устройстве невозможно. Единственный способ перекрыть вирусописателям этот канал связи со своим вредоносным ПО – заблокировать аккаунты разработчиков, ID которых вредоносные программы используют при регистрации в GCM.
В настоящее время мобильных вредоносных программ, использующих GCM, не так уж и много, но большинство из них весьма популярны.
Кроме того, в середине июня 2013 года мы впервые зафиксировали случаи использования для распространения мобильных зловредов мощностей сторонних ботнетов – мобильных устройств, зараженных другими вредоносными программами, которыми управляют другие злоумышленники.
Таким способом распространялся самый сложный Android-троянец Obad. Для его распространения использовались мобильные устройства, зараженные Trojan-SMS.AndroidOS.Opfake.a. Opfake по команде с C&C-сервера начинал рассылать с зараженных устройств по всем контактам жертвы SMS с предложением скачать новое MMS-сообщение. Если пользователь, получивший SMS, кликал по ссылке в сообщении, на его мобильное устройство автоматическая загружался Backdoor.AndroidOS.Obad.a.
Как и прежде, мобильные зловреды используются в основном для кражи денег пользователей. В третьем квартале появилась вредоносная программа, которая дает возможность злоумышленникам воровать деньги не только с мобильных, но и с банковских счетов жертвы. Перехваченный нами в июле Trojan-SMS.AndroidOS.Svpeng.a по команде вирусописателя проверяет, не подключен ли мобильный номер к службам мобильного банкинга различных российских банков. Вторая модификация этого троянца содержала функционал этой проверки в своём коде:
Как правило, с телефона, привязанного к сервису «Мобильный банк», пользователи имеют возможность пополнить счет любого мобильного телефона, отправив соответствующее SMS. Это позволяет злоумышленникам переводить доступные в «Мобильном банке» суммы на свои мобильные номера, а затем их обналичивать, например, переводя деньги на QIWI кошелек.
Trojan-SMS.AndroidOS.Svpeng.a препятствует общению жертвы и банка — в частности, перехватывает SMS и звонки с принадлежащих банку номеров. В результате жертва долгое время может не подозревать о том, что с ее банковского счета украдены деньги.
Ущерб пользователя от деятельности таких троянцев может исчисляться десятками тысяч рублей (тысячами долларов).
Набирает популярность эксплуатация различных уязвимостей в ОС Android. Так, например, Svpeng.a ставил несуществующий пароль на несуществующее хранилище и перехватывал диалог снятия с себя прав DEVICE ADMINISTRATOR, что приводило к тому, что пользователь никак не мог удалить приложение самостоятельно.
Права DEVICE ADMINISTRATOR используют и некоторые другие актуальные вредоносные программы, в результате на большинстве версий Android они могут работать долго и эффективно.
Master key: уязвимости в ОС Android позволяют приложениям избегать проверки на целостность
В начале третьего квартала были обнаружены две очень неприятных уязвимости в ОС Android, объединенные под общим названием “Master Key”. Эти уязвимости позволяют изменять компоненты приложений в обход криптографических сигнатур, так что ОС Android продолжает считать их полностью легитимными, несмотря на новое, потенциально вредоносное содержание.
Эти две уязвимости имеют много общего. Первая уязвимость была обнаружена в феврале компанией Bluebox Security Company, а затем подробнее представлена Джеффом Форристал (Jeff Forristal) на конференции BlackHat в Лас-Вегасе. По данным Bluebox, уязвимость присутствует во всех версиях ОС Android, начиная с 1.6, и может затрагивать любое устройство, выпущенное в течение последних 4 лет. Приложения представляют собой одиночные файлы с расширением .APK (Android Package). Обычно APK-файлы – это ZIP-архивы, содержащие все ресурсы, упакованные в виде файлов со специальными именами (собственно код приложения обычно хранится в classes.dex). Как правило, при установке приложения на ОС Android пресекается любая попытка запустить APK-файл с изменённым содержимым. Формат ZIP сам по себе не исключает дублирования имён файлов; при этом ОС Android успешно проверяет один файл из двух с одинаковым именем, а запускает другой.
Информация о второй уязвимости опубликована китайскими экспертами. Здесь проблема заключается в одновременном использовании двух методов чтения и распаковки файлов APK и двух разных способов интерпретации представления данных в языках Java и C. Как и в случае с первой уязвимостью, это позволяет использовать два файла с идентичными именами в составе одного APK-файла для вмешательства в работу системы. Нужно отметить, что важным условием для проведения успешной атаки является длина оригинального файла classes.dex – он должен быть не длиннее 64 кБ; но это условие не выполняется для большинства Android-приложений.
Комментариев нет:
Отправить комментарий