Главная » Статьи » Новости софта

Троянцы в Android добиваются root-привилегий

троян

Основным принципом обеспечения безопасности в ОС Android являются особенности установки прикладного ПО на мобильные устройства. В частности, инсталляция происходит только после того, как пользователь ознакомится с информацией о той или иной программе и даст окончательное согласие на ее установку. Для обхода данного ограничения некоторые вирусописатели стали снабжать своих троянцев различными root-эксплойтами, дающими неограниченные полномочия на атакуемых смартфонах и планшетах. В результате уже в 2011 году появились вредоносные Android-приложения, которые при помощи различных программных уязвимостей пытались получить системные привилегии, после чего могли устанавливать и удалять ПО без участия пользователя. К таким троянцам относятся Android.DreamExploid и Android.Gongfu.

Атаки с применением подобных вредоносных приложений на протяжении длительного времени были достаточно редкими, но в 2015 году вирусные аналитики компании "Доктор Веб" отметили новый всплеск интереса к root-троянцам. При этом если раньше злоумышленники стремились с их помощью лишь незаметно установить как можно больше приложений, чтобы получить от партнерских программ прибыль за каждую успешную инсталляцию, то теперь все чаще они пытаются внедрить вредоносное или нежелательное ПО непосредственно в системный каталог Android. Так, киберпреступники хотят заразить мобильные устройства руткитами, которые остаются скрытыми в системе и продолжают свою работу, даже если установившую их вредоносную программу позднее найдут и удалят.

Попадая в системную область системы, подобные троянцы получают расширенные функциональные полномочия и предоставляют злоумышленникам полный контроль над зараженными устройствами, а также неограниченный доступ к хранящейся на них информации. При этом обнаружение таких приложений значительно усложняется и может потребовать гораздо больше времени по сравнению с идентификацией "обычного" вредоносного ПО для Android.

Но даже после успешного обнаружения Android-руткитов в системном каталоге попытка их удаления сопряжена с определенным риском. В некоторых случаях подобные вредоносные приложения значительно модифицируют программное окружение ОС, в результате чего их деинсталляция способна привести к неработоспособности зараженного смартфона или планшета. Однако даже в таких случаях зараженное мобильное устройство относительно легко вернуть к жизни: для этого достаточно переустановить заводскую прошивку. Тем не менее, некоторые антивирусные компании заявляют, что удаление троянцев, попавших в системную область Android в результате получения root-полномочий, практически невозможно, и пользователям стоит задуматься о замене мобильного устройства.

Однако успешная борьба с Android-руткитами вполне осуществима. Так, специалисты "Доктор Веб" тщательно анализируют каждое подобное вредоносное приложение. После того как они убедятся, что удаление того или иного троянца не приведет к поломке Android-устройства, соответствующий алгоритм лечения вносится в вирусную базу Dr.Web Security Space для Android. Несмотря на то, что это весьма трудоемкий и длительный процесс, с каждым днем число успешно удаляемых из системной области ОС Android троянцев увеличивается.

Среди обнаруженных в 2015 году вредоносных приложений, пытающихся получить root-полномочия на Android-устройствах и незаметно установить вредоносное ПО в системную директорию, прежде всего стоит отметить троянцев семейства Android.Toorch, о которых стало известно в апреле. Один из них был замаскирован под программу-фонарик и распространялся вирусописателями через популярные в Китае сайты - сборники ПО, а также при помощи агрессивных рекламных модулей, интегрированных в различные приложения. После запуска на целевых мобильных устройствах он пытался повысить свои системные привилегии до уровня root, незаметно устанавливал в системный каталог /system/app один их своих компонентов, а также запускал на исполнение еще один вредоносный модуль. После этого по команде злоумышленников вредоносное приложение могло загружать, устанавливать и удалять указанные ими программы без ведома пользователя.

Другая вредоносная программа, пытавшаяся получить root-доступ на заражаемых устройствах, была внесена в вирусную базу Dr.Web как Android.Backdoor.176.origin. Этот троянец распространялся вирусописателями в модифицированных ими изначально безобидных играх и приложениях. При первом запуске Android.Backdoor.176.origin передает на управляющий сервер подробную информацию о зараженном устройстве, после чего регистрирует несколько перехватчиков системных событий, контролируя, в частности, загрузку ОС, взаимодействие пользователя с экраном, запуск приложений. При следующем включении инфицированного смартфона или планшета вредоносная программа загружает из интернета модифицированную версию утилиты Root Master и с ее помощью пытается получить root-доступ в системе. Основное предназначение данной вредоносной программы - незаметная установка и удаление приложений по команде с управляющего сервера. Помимо этого троянец передает злоумышленникам подробные сведения о зараженном смартфоне или планшете, отслеживает количество входящих и исходящих вызовов, а также отправленных и принятых SMS-сообщений.

Не меньшую опасность для владельцев Android-смартфонов и планшетов представляет и троянец Android.DownLoader.244.origin. Как и многие вредоносные Android-приложения, он распространялся через популярные сайты - сборники ПО в модифицированных киберпреступниками изначально безопасных программах и играх. После запуска содержащей троянца программы Android.DownLoader.244.origin запрашивает у пользователя доступ к специальным возможностям ОС (Accessibility Service). Если потенциальная жертва согласится предоставить ей необходимые права, вредоносная программа сможет контролировать все события, происходящие на устройстве, а также получит возможность незаметно устанавливать приложения, имитируя действия пользователя и самостоятельно нажимая на кнопки в соответствующих диалоговых окнах, которые будут возникать при попытке инсталляции заданного злоумышленниками ПО.

 

Категория: Новости софта | Добавил: admin (20.11.2015)
Просмотров: 294 | Рейтинг: 0.0/0
Всего комментариев: 0

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Nam viverra in dui sit amet consequat.

- John Doe, creative director

Praesent vestibulum commodo mi eget congue. Ut pretium vel lectus vel consectetur.

- John Doe, creative director

Etiam quis aliquam turpis. Etiam in mauris elementum, gravida tortor eget, porttitor turpis.

- John Doe, creative director

Lorem ipsum
Neque id cursus faucibus, tortor neque egestas augue, eu vulputate magna eros eu erat
Neque id cursus faucibus, tortor neque egestas augue, eu vulputate magna eros eu erat. Curabitur pharetra dictum lorem, id mattis ipsum sodales et. Cras id dui ut leo scelerisque tempus. Sed id dolor dapibus est lacinia lobortis.
Learn more