Старые игрушки в цифровом мире
23 ноября 2020
Матрешки… Множество вложенных друг в друга фигурок, приятный сувенир для одних и память из детства – для других. Многие любят эти игрушки, но не всегда «матрешка» – синоним теплоты и безопасности. В цифровом мире злоумышленники адаптировали идею вложенности фигурок к темным реалиям, и теперь матрешки – это все чаще еще и вредоносные программы.
Вирусописатели стремятся защитить свои творения от обнаружения. Достичь этого можно различными способами, в частности использованием идеи модульности. Что дает модульность? Программа, состоящая из нескольких частей, может использовать нужный модуль в тот момент, когда это требуется. Так, некоторые трояны могут применять разные модули в зависимости от того, что собой представляет атакуемая система. Или вредоносный модуль может подгружаться «по требованию», уже после установки вредоносной программы в системе и завершения разведывательного этапа – выяснения, какие меры защиты используются, какие найдены уязвимости, какое ПО установлено на атакуемой машине.
После разведки вредоносная программа может извлечь нужный модуль из хранилища – уже ранее загруженного файла – или подключиться к управляющему серверу злоумышленников (C&C-серверу), откуда и будут загружены дополнительные модули вредоносного ПО, выбранные для продолжения атаки.
Модульность затрудняет работу по выявлению угроз. Так, в связи с тем, что на исследуемой машине могут присутствовать не все модули вредоносного ПО, у аналитиков антивирусных компаний будет лишь частичная картина. Вредоносные программы с модульной структурой могут быть изменчивы, менять направления атаки и используемые методы проникновения.
В качестве примеров модульных троянов можно привести вредоносные программы для ОС Android, распространявшиеся через Google Play и упомянутые в нашем недавнем обзоре.
Первый троян – Android.Joker.341 Его основная функция – выполнение произвольного кода (запуск скачиваемых модулей), а также перехват уведомлений и получение доступа к информации из них (в частности, это могут быть проверочные коды для подтверждения подписки на платные сервисы). В зависимости от архитектуры процессора устройства, запускаясь, троян загружает в память одну из скрытых в своем apk-файле библиотек (антивирус Dr.Web детектирует их как Android.Joker.339 и Android.Joker.340). В свою очередь, загруженная библиотека извлекает из себя вредоносный модуль Android.Joker.177.origin, который скачивает с удаленного сервера модуль Android.Joker.192.origin. Тот получает доступ к содержимому уведомлений и загружает с сервера еще один модуль ― Android.Joker.107.origin. В нем и содержится основная вредоносная функциональность. Чистая матрешка!
При этом модули, не имеющие продвинутого вредоносного назначения, могут иметь дополнительные функции, а не просто быть прослойкой-загрузчиком (в рассматриваемом случае это получение нужных прав, перехват уведомлений). Однако это может быть и что-то еще, если сервер отдаст на скачивание другие версии или модификации модулей. Т. е. потенциальные возможности трояна довольно широки и ограничиваются по большей части доступными правами исходной программы из Google Play (ее списком системных разрешений).
Второй троян – Android.Triada.545.origin, который скрывался в приложении-фотокамере. Его основная функция – фишинг и выполнение произвольного загружаемого кода.
Среди загружаемых им компонентов был Android.Triada.467.origin, который является СМС-ботом и кликером.
Android.Triada.467.origin ранее был замечен в системных разделах, куда его кто-то должен был поместить. Это либо был троян, который использует эксплойты для получения прав root, либо Android.Triada.467.origin внедрялся в готовые прошивки. Здесь нужно пояснить, что Google Play сейчас не разрешает размещать у себя приложения с функцией работы с СМС, поэтому такой модуль после загрузки не сможет заработать – не будет нужных прав. Однако Android.Triada.545.origin потенциально может загрузить модуль с эксплойтом для получения root, и тогда уже сможет заражать и системный каталог в прошивке, поместив в него что угодно. При таком сценарии могут быть скачаны и установлены самые разнообразные модули: шпионские, для майнинга, рекламные и т. п. – чем не матрешка?
Третий пример – трояны семейства Android.RemoteCode. Это семейство как раз специализируется на загрузке и запуске других вредоносных модулей. Часто это программы для показа рекламы.
Разнесение функций по модулям помогает снизить заметность троянов и избежать потенциального обнаружения внутренними средствами безопасности самого Google Play (а также антивирусами на устройствах, когда отдельные модули проще обновить, чем основную программу, тем самым сняв с них детектирование), а также расширить функциональность трояна. И открывает перспективы для атак по заказу: каждому заказчику – свой модуль со своей функцией. Злоумышленники создают платформу с минимальными функциями (исходный троян, которого проще писать, распространять и модифицировать), а основная логика может находиться уже в отдельных заказных модулях.
Антивирусная правДА! рекомендует
К сожалению, улыбающаяся матрешка может ввести в заблуждение. Под первой же матрешкой может скрываться вредоносный код. Именно поэтому рекомендуется не устанавливать на устройство все программы подряд, всегда иметь установленный антивирус и перед загрузкой приложений проверять, к каким функциям они хотят получить доступ. Пусть даже это будет тот же фоторедактор или «безобидный» фонарик.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
mbGod88
03:15:07 2021-01-26
Karnegi
22:05:55 2020-11-24
Aлхимон777
18:20:20 2020-11-24
Альфа
23:38:07 2020-11-23
Korney
23:21:03 2020-11-23
Lia00
22:47:34 2020-11-23
Filip_s
21:16:23 2020-11-23
Геральт
20:44:35 2020-11-23
orw_mikle
20:11:15 2020-11-23
L1t1um
20:03:04 2020-11-23
GM.
20:02:30 2020-11-23
Zserg
18:00:53 2020-11-23
GREEN
16:51:28 2020-11-23
Masha
16:42:51 2020-11-23
Неуёмный Обыватель
16:17:05 2020-11-23
maestro431
14:29:38 2020-11-23
anatol
14:20:24 2020-11-23
Денисенко Павел Андреевич
14:09:52 2020-11-23
SGES
13:24:53 2020-11-23
Татьяна
13:21:31 2020-11-23
vinnetou
12:53:51 2020-11-23
DrKV
11:19:20 2020-11-23
admin_29
10:50:17 2020-11-23
Alexander
10:47:58 2020-11-23
И "спящий" шпион вредонос тоже бывает, и цельный и модульный... Но в какие бы шкуры не рядился незваный "гость" Dr.Web Security Space его раскусит... Скомпонует и снова разгрызёт, в порошок разотрёт.. зёрна от плевел отделит, здоровье компьютеров наших сохранит...
Матрёшка, конечно, ввести может в соблазн, формами и зазывами своими... но наш благородный и стойкий Dr.Web-страж не даст продолжить ей вояж...
GREEN
10:29:55 2020-11-23
Как же верно сказано! А то берешь в руки смартфон (не важно с какой ОС) и диву даёшься - чего только в нем не по-установлено: от "безобидного" фонарика и зеркала, до клиент-банка, и никакого антивируса в придачу. И не знаешь, то ли смеяться, то ли посоветовать "выбросить"этот кирпич (ну не выбросить, впрочем, а сбросить на заводские настройки). Хотя сброс к нулю и не всегда помогает ...
vkor
09:12:36 2020-11-23
Vlad X
08:43:21 2020-11-23
А если разобраться,то они не нужны,приходится отключать.
achemolganskiy
08:29:26 2020-11-23
gebrakk
08:26:54 2020-11-23
tigra
08:16:46 2020-11-23
tigra
08:15:46 2020-11-23
Пaвeл
07:15:50 2020-11-23
ka_s
07:13:06 2020-11-23
Любитель пляжного футбола
07:12:00 2020-11-23
Sergey
07:04:44 2020-11-23
Slava90
04:58:38 2020-11-23