-
добавить в избранное
Старые игрушки в цифровом мире
23 ноября 2020
Матрешки… Множество вложенных друг в друга фигурок, приятный сувенир для одних и память из детства – для других. Многие любят эти игрушки, но не всегда «матрешка» – синоним теплоты и безопасности. В цифровом мире злоумышленники адаптировали идею вложенности фигурок к темным реалиям, и теперь матрешки – это все чаще еще и вредоносные программы.
Вирусописатели стремятся защитить свои творения от обнаружения. Достичь этого можно различными способами, в частности использованием идеи модульности. Что дает модульность? Программа, состоящая из нескольких частей, может использовать нужный модуль в тот момент, когда это требуется. Так, некоторые трояны могут применять разные модули в зависимости от того, что собой представляет атакуемая система. Или вредоносный модуль может подгружаться «по требованию», уже после установки вредоносной программы в системе и завершения разведывательного этапа – выяснения, какие меры защиты используются, какие найдены уязвимости, какое ПО установлено на атакуемой машине.
После разведки вредоносная программа может извлечь нужный модуль из хранилища – уже ранее загруженного файла – или подключиться к управляющему серверу злоумышленников (C&C-серверу), откуда и будут загружены дополнительные модули вредоносного ПО, выбранные для продолжения атаки.
Модульность затрудняет работу по выявлению угроз. Так, в связи с тем, что на исследуемой машине могут присутствовать не все модули вредоносного ПО, у аналитиков антивирусных компаний будет лишь частичная картина. Вредоносные программы с модульной структурой могут быть изменчивы, менять направления атаки и используемые методы проникновения.
В качестве примеров модульных троянов можно привести вредоносные программы для ОС Android, распространявшиеся через Google Play и упомянутые в нашем недавнем обзоре.
Первый троян – Android.Joker.341 Его основная функция – выполнение произвольного кода (запуск скачиваемых модулей), а также перехват уведомлений и получение доступа к информации из них (в частности, это могут быть проверочные коды для подтверждения подписки на платные сервисы). В зависимости от архитектуры процессора устройства, запускаясь, троян загружает в память одну из скрытых в своем apk-файле библиотек (антивирус Dr.Web детектирует их как Android.Joker.339 и Android.Joker.340). В свою очередь, загруженная библиотека извлекает из себя вредоносный модуль Android.Joker.177.origin, который скачивает с удаленного сервера модуль Android.Joker.192.origin. Тот получает доступ к содержимому уведомлений и загружает с сервера еще один модуль ― Android.Joker.107.origin. В нем и содержится основная вредоносная функциональность. Чистая матрешка!
При этом модули, не имеющие продвинутого вредоносного назначения, могут иметь дополнительные функции, а не просто быть прослойкой-загрузчиком (в рассматриваемом случае это получение нужных прав, перехват уведомлений). Однако это может быть и что-то еще, если сервер отдаст на скачивание другие версии или модификации модулей. Т. е. потенциальные возможности трояна довольно широки и ограничиваются по большей части доступными правами исходной программы из Google Play (ее списком системных разрешений).
Второй троян – Android.Triada.545.origin, который скрывался в приложении-фотокамере. Его основная функция – фишинг и выполнение произвольного загружаемого кода.
Среди загружаемых им компонентов был Android.Triada.467.origin, который является СМС-ботом и кликером.
Android.Triada.467.origin ранее был замечен в системных разделах, куда его кто-то должен был поместить. Это либо был троян, который использует эксплойты для получения прав root, либо Android.Triada.467.origin внедрялся в готовые прошивки. Здесь нужно пояснить, что Google Play сейчас не разрешает размещать у себя приложения с функцией работы с СМС, поэтому такой модуль после загрузки не сможет заработать – не будет нужных прав. Однако Android.Triada.545.origin потенциально может загрузить модуль с эксплойтом для получения root, и тогда уже сможет заражать и системный каталог в прошивке, поместив в него что угодно. При таком сценарии могут быть скачаны и установлены самые разнообразные модули: шпионские, для майнинга, рекламные и т. п. – чем не матрешка?
Третий пример – трояны семейства Android.RemoteCode. Это семейство как раз специализируется на загрузке и запуске других вредоносных модулей. Часто это программы для показа рекламы.
Разнесение функций по модулям помогает снизить заметность троянов и избежать потенциального обнаружения внутренними средствами безопасности самого Google Play (а также антивирусами на устройствах, когда отдельные модули проще обновить, чем основную программу, тем самым сняв с них детектирование), а также расширить функциональность трояна. И открывает перспективы для атак по заказу: каждому заказчику – свой модуль со своей функцией. Злоумышленники создают платформу с минимальными функциями (исходный троян, которого проще писать, распространять и модифицировать), а основная логика может находиться уже в отдельных заказных модулях.
Антивирусная правДА! рекомендует
К сожалению, улыбающаяся матрешка может ввести в заблуждение. Под первой же матрешкой может скрываться вредоносный код. Именно поэтому рекомендуется не устанавливать на устройство все программы подряд, всегда иметь установленный антивирус и перед загрузкой приложений проверять, к каким функциям они хотят получить доступ. Пусть даже это будет тот же фоторедактор или «безобидный» фонарик.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
mbGod88
03:15:07 2021-01-26
Karnegi
22:05:55 2020-11-24
Aлхимон777
18:20:20 2020-11-24
Альфа
23:38:07 2020-11-23
Korney
23:21:03 2020-11-23
Lia00
22:47:34 2020-11-23
Filip_s
21:16:23 2020-11-23
Геральт
20:44:35 2020-11-23
orw_mikle
20:11:15 2020-11-23
L1t1um
20:03:04 2020-11-23
GM.
20:02:30 2020-11-23
Zserg
18:00:53 2020-11-23
GREEN
16:51:28 2020-11-23
Masha
16:42:51 2020-11-23
Неуёмный Обыватель
16:17:05 2020-11-23
maestro431
14:29:38 2020-11-23
anatol
14:20:24 2020-11-23
Денисенко Павел Андреевич
14:09:52 2020-11-23
SGES
13:24:53 2020-11-23
Татьяна
13:21:31 2020-11-23
vinnetou
12:53:51 2020-11-23
kozinka.ru
11:19:20 2020-11-23
admin_29
10:50:17 2020-11-23
Alexander
10:47:58 2020-11-23
И "спящий" шпион вредонос тоже бывает, и цельный и модульный... Но в какие бы шкуры не рядился незваный "гость" Dr.Web Security Space его раскусит... Скомпонует и снова разгрызёт, в порошок разотрёт.. зёрна от плевел отделит, здоровье компьютеров наших сохранит...
Матрёшка, конечно, ввести может в соблазн, формами и зазывами своими... но наш благородный и стойкий Dr.Web-страж не даст продолжить ей вояж...
GREEN
10:29:55 2020-11-23
Как же верно сказано! А то берешь в руки смартфон (не важно с какой ОС) и диву даёшься - чего только в нем не по-установлено: от "безобидного" фонарика и зеркала, до клиент-банка, и никакого антивируса в придачу. И не знаешь, то ли смеяться, то ли посоветовать "выбросить"этот кирпич (ну не выбросить, впрочем, а сбросить на заводские настройки). Хотя сброс к нулю и не всегда помогает ...
vkor
09:12:36 2020-11-23
Vlad X
08:43:21 2020-11-23
А если разобраться,то они не нужны,приходится отключать.
achemolganskiy
08:29:26 2020-11-23
gebrakk
08:26:54 2020-11-23
tigra
08:16:46 2020-11-23
tigra
08:15:46 2020-11-23
Пaвeл
07:15:50 2020-11-23
ka_s
07:13:06 2020-11-23
Любитель пляжного футбола
07:12:00 2020-11-23
Sergey
07:04:44 2020-11-23
Slava90
04:58:38 2020-11-23