Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Старые игрушки в цифровом мире

Прочитали: 9611 Комментариев: 36 Рейтинг: 66

23 ноября 2020

Матрешки… Множество вложенных друг в друга фигурок, приятный сувенир для одних и память из детства – для других. Многие любят эти игрушки, но не всегда «матрешка» – синоним теплоты и безопасности. В цифровом мире злоумышленники адаптировали идею вложенности фигурок к темным реалиям, и теперь матрешки – это все чаще еще и вредоносные программы.

Вирусописатели стремятся защитить свои творения от обнаружения. Достичь этого можно различными способами, в частности использованием идеи модульности. Что дает модульность? Программа, состоящая из нескольких частей, может использовать нужный модуль в тот момент, когда это требуется. Так, некоторые трояны могут применять разные модули в зависимости от того, что собой представляет атакуемая система. Или вредоносный модуль может подгружаться «по требованию», уже после установки вредоносной программы в системе и завершения разведывательного этапа – выяснения, какие меры защиты используются, какие найдены уязвимости, какое ПО установлено на атакуемой машине.

После разведки вредоносная программа может извлечь нужный модуль из хранилища – уже ранее загруженного файла – или подключиться к управляющему серверу злоумышленников (C&C-серверу), откуда и будут загружены дополнительные модули вредоносного ПО, выбранные для продолжения атаки.

Модульность затрудняет работу по выявлению угроз. Так, в связи с тем, что на исследуемой машине могут присутствовать не все модули вредоносного ПО, у аналитиков антивирусных компаний будет лишь частичная картина. Вредоносные программы с модульной структурой могут быть изменчивы, менять направления атаки и используемые методы проникновения.

В качестве примеров модульных троянов можно привести вредоносные программы для ОС Android, распространявшиеся через Google Play и упомянутые в нашем недавнем обзоре.

Первый троян – Android.Joker.341 Его основная функция – выполнение произвольного кода (запуск скачиваемых модулей), а также перехват уведомлений и получение доступа к информации из них (в частности, это могут быть проверочные коды для подтверждения подписки на платные сервисы). В зависимости от архитектуры процессора устройства, запускаясь, троян загружает в память одну из скрытых в своем apk-файле библиотек (антивирус Dr.Web детектирует их как Android.Joker.339 и Android.Joker.340). В свою очередь, загруженная библиотека извлекает из себя вредоносный модуль Android.Joker.177.origin, который скачивает с удаленного сервера модуль Android.Joker.192.origin. Тот получает доступ к содержимому уведомлений и загружает с сервера еще один модуль ― Android.Joker.107.origin. В нем и содержится основная вредоносная функциональность. Чистая матрешка!

При этом модули, не имеющие продвинутого вредоносного назначения, могут иметь дополнительные функции, а не просто быть прослойкой-загрузчиком (в рассматриваемом случае это получение нужных прав, перехват уведомлений). Однако это может быть и что-то еще, если сервер отдаст на скачивание другие версии или модификации модулей. Т. е. потенциальные возможности трояна довольно широки и ограничиваются по большей части доступными правами исходной программы из Google Play (ее списком системных разрешений).

Второй троян – Android.Triada.545.origin, который скрывался в приложении-фотокамере. Его основная функция – фишинг и выполнение произвольного загружаемого кода.

Среди загружаемых им компонентов был Android.Triada.467.origin, который является СМС-ботом и кликером.

Android.Triada.467.origin ранее был замечен в системных разделах, куда его кто-то должен был поместить. Это либо был троян, который использует эксплойты для получения прав root, либо Android.Triada.467.origin внедрялся в готовые прошивки. Здесь нужно пояснить, что Google Play сейчас не разрешает размещать у себя приложения с функцией работы с СМС, поэтому такой модуль после загрузки не сможет заработать – не будет нужных прав. Однако Android.Triada.545.origin потенциально может загрузить модуль с эксплойтом для получения root, и тогда уже сможет заражать и системный каталог в прошивке, поместив в него что угодно. При таком сценарии могут быть скачаны и установлены самые разнообразные модули: шпионские, для майнинга, рекламные и т. п. – чем не матрешка?

Третий пример – трояны семейства Android.RemoteCode. Это семейство как раз специализируется на загрузке и запуске других вредоносных модулей. Часто это программы для показа рекламы.

Разнесение функций по модулям помогает снизить заметность троянов и избежать потенциального обнаружения внутренними средствами безопасности самого Google Play (а также антивирусами на устройствах, когда отдельные модули проще обновить, чем основную программу, тем самым сняв с них детектирование), а также расширить функциональность трояна. И открывает перспективы для атак по заказу: каждому заказчику – свой модуль со своей функцией. Злоумышленники создают платформу с минимальными функциями (исходный троян, которого проще писать, распространять и модифицировать), а основная логика может находиться уже в отдельных заказных модулях.

#Андроид #мобильный #троянец #эксплойт

Антивирусная правДА! рекомендует

К сожалению, улыбающаяся матрешка может ввести в заблуждение. Под первой же матрешкой может скрываться вредоносный код. Именно поэтому рекомендуется не устанавливать на устройство все программы подряд, всегда иметь установленный антивирус и перед загрузкой приложений проверять, к каким функциям они хотят получить доступ. Пусть даже это будет тот же фоторедактор или «безобидный» фонарик.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей