Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Старые игрушки в цифровом мире

Прочитали: 1316 Комментариев: 35 Рейтинг: 63

23 ноября 2020

Матрешки… Множество вложенных друг в друга фигурок, приятный сувенир для одних и память из детства – для других. Многие любят эти игрушки, но не всегда «матрешка» – синоним теплоты и безопасности. В цифровом мире злоумышленники адаптировали идею вложенности фигурок к темным реалиям, и теперь матрешки – это все чаще еще и вредоносные программы.

Вирусописатели стремятся защитить свои творения от обнаружения. Достичь этого можно различными способами, в частности использованием идеи модульности. Что дает модульность? Программа, состоящая из нескольких частей, может использовать нужный модуль в тот момент, когда это требуется. Так, некоторые трояны могут применять разные модули в зависимости от того, что собой представляет атакуемая система. Или вредоносный модуль может подгружаться «по требованию», уже после установки вредоносной программы в системе и завершения разведывательного этапа – выяснения, какие меры защиты используются, какие найдены уязвимости, какое ПО установлено на атакуемой машине.

После разведки вредоносная программа может извлечь нужный модуль из хранилища – уже ранее загруженного файла – или подключиться к управляющему серверу злоумышленников (C&C-серверу), откуда и будут загружены дополнительные модули вредоносного ПО, выбранные для продолжения атаки.

Модульность затрудняет работу по выявлению угроз. Так, в связи с тем, что на исследуемой машине могут присутствовать не все модули вредоносного ПО, у аналитиков антивирусных компаний будет лишь частичная картина. Вредоносные программы с модульной структурой могут быть изменчивы, менять направления атаки и используемые методы проникновения.

В качестве примеров модульных троянов можно привести вредоносные программы для ОС Android, распространявшиеся через Google Play и упомянутые в нашем недавнем обзоре.

Первый троян – Android.Joker.341 Его основная функция – выполнение произвольного кода (запуск скачиваемых модулей), а также перехват уведомлений и получение доступа к информации из них (в частности, это могут быть проверочные коды для подтверждения подписки на платные сервисы). В зависимости от архитектуры процессора устройства, запускаясь, троян загружает в память одну из скрытых в своем apk-файле библиотек (антивирус Dr.Web детектирует их как Android.Joker.339 и Android.Joker.340). В свою очередь, загруженная библиотека извлекает из себя вредоносный модуль Android.Joker.177.origin, который скачивает с удаленного сервера модуль Android.Joker.192.origin. Тот получает доступ к содержимому уведомлений и загружает с сервера еще один модуль ― Android.Joker.107.origin. В нем и содержится основная вредоносная функциональность. Чистая матрешка!

При этом модули, не имеющие продвинутого вредоносного назначения, могут иметь дополнительные функции, а не просто быть прослойкой-загрузчиком (в рассматриваемом случае это получение нужных прав, перехват уведомлений). Однако это может быть и что-то еще, если сервер отдаст на скачивание другие версии или модификации модулей. Т. е. потенциальные возможности трояна довольно широки и ограничиваются по большей части доступными правами исходной программы из Google Play (ее списком системных разрешений).

Второй троян – Android.Triada.545.origin, который скрывался в приложении-фотокамере. Его основная функция – фишинг и выполнение произвольного загружаемого кода.

Среди загружаемых им компонентов был Android.Triada.467.origin, который является СМС-ботом и кликером.

Android.Triada.467.origin ранее был замечен в системных разделах, куда его кто-то должен был поместить. Это либо был троян, который использует эксплойты для получения прав root, либо Android.Triada.467.origin внедрялся в готовые прошивки. Здесь нужно пояснить, что Google Play сейчас не разрешает размещать у себя приложения с функцией работы с СМС, поэтому такой модуль после загрузки не сможет заработать – не будет нужных прав. Однако Android.Triada.545.origin потенциально может загрузить модуль с эксплойтом для получения root, и тогда уже сможет заражать и системный каталог в прошивке, поместив в него что угодно. При таком сценарии могут быть скачаны и установлены самые разнообразные модули: шпионские, для майнинга, рекламные и т. п. – чем не матрешка?

Третий пример – трояны семейства Android.RemoteCode. Это семейство как раз специализируется на загрузке и запуске других вредоносных модулей. Часто это программы для показа рекламы.

Разнесение функций по модулям помогает снизить заметность троянов и избежать потенциального обнаружения внутренними средствами безопасности самого Google Play (а также антивирусами на устройствах, когда отдельные модули проще обновить, чем основную программу, тем самым сняв с них детектирование), а также расширить функциональность трояна. И открывает перспективы для атак по заказу: каждому заказчику – свой модуль со своей функцией. Злоумышленники создают платформу с минимальными функциями (исходный троян, которого проще писать, распространять и модифицировать), а основная логика может находиться уже в отдельных заказных модулях.

#Андроид #мобильный #троянец #эксплойт

Антивирусная правДА! рекомендует

К сожалению, улыбающаяся матрешка может ввести в заблуждение. Под первой же матрешкой может скрываться вредоносный код. Именно поэтому рекомендуется не устанавливать на устройство все программы подряд, всегда иметь установленный антивирус и перед загрузкой приложений проверять, к каким функциям они хотят получить доступ. Пусть даже это будет тот же фоторедактор или «безобидный» фонарик.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей