Старые игрушки в цифровом мире

Темная кухня

добавить в избранное

Старые игрушки в цифровом мире

Прочитали: 1316 Комментариев: 35 Рейтинг: 63

23 ноября 2020

Матрешки… Множество вложенных друг в друга фигурок, приятный сувенир для одних и память из детства – для других. Многие любят эти игрушки, но не всегда «матрешка» – синоним теплоты и безопасности. В цифровом мире злоумышленники адаптировали идею вложенности фигурок к темным реалиям, и теперь матрешки – это все чаще еще и вредоносные программы.

Вирусописатели стремятся защитить свои творения от обнаружения. Достичь этого можно различными способами, в частности использованием идеи модульности. Что дает модульность? Программа, состоящая из нескольких частей, может использовать нужный модуль в тот момент, когда это требуется. Так, некоторые трояны могут применять разные модули в зависимости от того, что собой представляет атакуемая система. Или вредоносный модуль может подгружаться «по требованию», уже после установки вредоносной программы в системе и завершения разведывательного этапа – выяснения, какие меры защиты используются, какие найдены уязвимости, какое ПО установлено на атакуемой машине.

После разведки вредоносная программа может извлечь нужный модуль из хранилища – уже ранее загруженного файла – или подключиться к управляющему серверу злоумышленников (C&C-серверу), откуда и будут загружены дополнительные модули вредоносного ПО, выбранные для продолжения атаки.

Модульность затрудняет работу по выявлению угроз. Так, в связи с тем, что на исследуемой машине могут присутствовать не все модули вредоносного ПО, у аналитиков антивирусных компаний будет лишь частичная картина. Вредоносные программы с модульной структурой могут быть изменчивы, менять направления атаки и используемые методы проникновения.

В качестве примеров модульных троянов можно привести вредоносные программы для ОС Android, распространявшиеся через Google Play и упомянутые в нашем недавнем обзоре.

Первый троян – Android.Joker.341 Его основная функция – выполнение произвольного кода (запуск скачиваемых модулей), а также перехват уведомлений и получение доступа к информации из них (в частности, это могут быть проверочные коды для подтверждения подписки на платные сервисы). В зависимости от архитектуры процессора устройства, запускаясь, троян загружает в память одну из скрытых в своем apk-файле библиотек (антивирус Dr.Web детектирует их как Android.Joker.339 и Android.Joker.340). В свою очередь, загруженная библиотека извлекает из себя вредоносный модуль Android.Joker.177.origin, который скачивает с удаленного сервера модуль Android.Joker.192.origin. Тот получает доступ к содержимому уведомлений и загружает с сервера еще один модуль ― Android.Joker.107.origin. В нем и содержится основная вредоносная функциональность. Чистая матрешка!

При этом модули, не имеющие продвинутого вредоносного назначения, могут иметь дополнительные функции, а не просто быть прослойкой-загрузчиком (в рассматриваемом случае это получение нужных прав, перехват уведомлений). Однако это может быть и что-то еще, если сервер отдаст на скачивание другие версии или модификации модулей. Т. е. потенциальные возможности трояна довольно широки и ограничиваются по большей части доступными правами исходной программы из Google Play (ее списком системных разрешений).

Второй троян – Android.Triada.545.origin, который скрывался в приложении-фотокамере. Его основная функция – фишинг и выполнение произвольного загружаемого кода.

Среди загружаемых им компонентов был Android.Triada.467.origin, который является СМС-ботом и кликером.

Android.Triada.467.origin ранее был замечен в системных разделах, куда его кто-то должен был поместить. Это либо был троян, который использует эксплойты для получения прав root, либо Android.Triada.467.origin внедрялся в готовые прошивки. Здесь нужно пояснить, что Google Play сейчас не разрешает размещать у себя приложения с функцией работы с СМС, поэтому такой модуль после загрузки не сможет заработать – не будет нужных прав. Однако Android.Triada.545.origin потенциально может загрузить модуль с эксплойтом для получения root, и тогда уже сможет заражать и системный каталог в прошивке, поместив в него что угодно. При таком сценарии могут быть скачаны и установлены самые разнообразные модули: шпионские, для майнинга, рекламные и т. п. – чем не матрешка?

Третий пример – трояны семейства Android.RemoteCode. Это семейство как раз специализируется на загрузке и запуске других вредоносных модулей. Часто это программы для показа рекламы.

Разнесение функций по модулям помогает снизить заметность троянов и избежать потенциального обнаружения внутренними средствами безопасности самого Google Play (а также антивирусами на устройствах, когда отдельные модули проще обновить, чем основную программу, тем самым сняв с них детектирование), а также расширить функциональность трояна. И открывает перспективы для атак по заказу: каждому заказчику – свой модуль со своей функцией. Злоумышленники создают платформу с минимальными функциями (исходный троян, которого проще писать, распространять и модифицировать), а основная логика может находиться уже в отдельных заказных модулях.

#Андроид #мобильный #троянец #эксплойт

Антивирусная правДА! рекомендует

К сожалению, улыбающаяся матрешка может ввести в заблуждение. Под первой же матрешкой может скрываться вредоносный код. Именно поэтому рекомендуется не устанавливать на устройство все программы подряд, всегда иметь установленный антивирус и перед загрузкой приложений проверять, к каким функциям они хотят получить доступ. Пусть даже это будет тот же фоторедактор или «безобидный» фонарик.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Karnegi
22:05:55 2020-11-24

Соблюдайте разумную предосторожность!

Aлхимон777
18:20:20 2020-11-24

Доктор веб любит предупреждать нас о угрозах! Вот и о вредоносных матрёшках предупредил :)

Альфа
23:38:07 2020-11-23

Не всё то золото, что блестит!

Korney
23:21:03 2020-11-23

Да это же просто Безобразие! Модульные матрёшки! Ну да ладно, думаю Dr.Web разрулит...

Lia00 Собкор
22:47:34 2020-11-23

какие только матрешки не бывают, оказывается...

Filip_s
21:16:23 2020-11-23

Любое действие, рождает противодействие.

Геральт Собкор
20:44:35 2020-11-23

Без надёжного антивируса никуда.

orw_mikle
20:11:15 2020-11-23

Сейчас всё больше программ требуют доступ к различным функциям. И сложно определить, давать доступ или не давать.

L1t1um
20:03:04 2020-11-23

Спасибо за выпуск! Полезная информация. Без антивируса сейчас никуда.

GM.
20:02:30 2020-11-23

Ужасные новости - мир поработят матрешки! И смешно и грустно...

Zserg
18:00:53 2020-11-23

Что это за антивирус, позволяющий скачивать абы что!?

GREEN Собкор
16:51:28 2020-11-23

@Masha, если он есть ... :)

Masha
16:42:51 2020-11-23

Нужно взять за правило: все что скачиваешь из интернета - проверяй антивирусом!

Неуёмный Обыватель Собкор
16:17:05 2020-11-23

Интересно, чем руководствуются люди, устанавливающие различные фонарики и по сотне разных "фотокамер" к себе на смартфон.

maestro431
14:29:38 2020-11-23

Бедная "русская матрешка"!

anatol
14:20:24 2020-11-23

Самое главное все-таки думать прежде, чем устанавливать любое, даже самое безобидное ПО.

Денисенко Павел Андреевич
14:09:52 2020-11-23

@Татьяна, ну да, особенно когда снаружи "матрешка" безобидна, а внутри опасная)

SGES Собкор
13:24:53 2020-11-23

Бессовестного гостя пивом из избы не выгонишь.

Татьяна
13:21:31 2020-11-23

Оказывается, что в цифровом мире «матрешка» далеко небезобидна.

vinnetou
12:53:51 2020-11-23

Без антивируса в интернете нечего делать!!!Есть приложения,которые просят много разрешений,поэтому прежде,чем их устанавливать надо подумать.

kozinka.ru Собкор
11:19:20 2020-11-23

Злоумышленники придумывают всё более изощрённые методы проникновения на устройства потенциальной жертвы. И порой, когда их задумка ещё не разгадана и не стала понятна, добиваются желаемого.

admin_29
10:50:17 2020-11-23

в интернет без антивируса вообще выходить нельзя

Alexander Собкор
10:47:58 2020-11-23

Вот и до матрёшек добрались... Какой прекрасный символ. И символ постоянного возрождения, и бесконечности новых открытий-познаний, и бесконечного деления… Наличия тайного сокрытия и неявного наличия...

И "спящий" шпион вредонос тоже бывает, и цельный и модульный... Но в какие бы шкуры не рядился незваный "гость" Dr.Web Security Space его раскусит... Скомпонует и снова разгрызёт, в порошок разотрёт.. зёрна от плевел отделит, здоровье компьютеров наших сохранит...

Матрёшка, конечно, ввести может в соблазн, формами и зазывами своими... но наш благородный и стойкий Dr.Web-страж не даст продолжить ей вояж...

GREEN Собкор
10:29:55 2020-11-23

"... рекомендуется не устанавливать на устройство все программы подряд"

Как же верно сказано! А то берешь в руки смартфон (не важно с какой ОС) и диву даёшься - чего только в нем не по-установлено: от "безобидного" фонарика и зеркала, до клиент-банка, и никакого антивируса в придачу. И не знаешь, то ли смеяться, то ли посоветовать "выбросить"этот кирпич (ну не выбросить, впрочем, а сбросить на заводские настройки). Хотя сброс к нулю и не всегда помогает ...

vkor
09:12:36 2020-11-23

Ох уж эти фонарики безобидные!

Vlad X
08:43:21 2020-11-23

Есть приложения,которые просят много разрешений.
А если разобраться,то они не нужны,приходится отключать.

achemolganskiy
08:29:26 2020-11-23

Бациллы, лошадки Одиссея добрались и до русской матрёшки. Осталось добраться и до китайской шкатулки. Потом видно будет.

gebrakk
08:26:54 2020-11-23

Эту бы энергию ,да в мирных целях! Для себя сделала вывод: внимательнее относиться к разрешениям. Спасибо за статью

tigra Собкор
08:16:46 2020-11-23

Вообще, всегда думал что матрёшка-это Мазда 3))))

tigra Собкор
08:15:46 2020-11-23

@ka_s, в пору вспомнить профессора Мориарти)))

Пaвeл Собкор
07:15:50 2020-11-23

Данная статья - еще одно подтверждение необходимости установки антивируса на любых устройствах.

ka_s
07:13:06 2020-11-23

Жаль, что в ряды злоумышленников попадают умные и по-своему талантливые люди.

Любитель пляжного футбола Собкор
07:12:00 2020-11-23

Большой потенциал у этих матрёшек, раз проверка скачанного установочного файла, а также самого приложения непосредственно сразу после установки антивирусом ничего не даст. А дальше, как понимаю, антивирус не всегда может выручить, если вредный функционал прилетит с обновлением. Отчасти может помочь настройка прав приложения (которой тоже не все занимаются) и запрет прав доступа к тому, что приложению для работы уж точно не должно требоваться. Проблема в том, что приложению эти функции могут как раз потребоваться для работы, если с этой целью и скачивалось приложение пользователем. Тут уж разве что поможет установка запрета на выход в интернет самому приложению в настройках телефона или установленного антивируса, то бишь будешь пользоваться приложением без обновлений.

Sergey
07:04:44 2020-11-23

Все подряд не устанавливать, а если уж решился, то семь раз отмерь-проверь. Вся надежда на надежный антивирус, откуда пользователю знать какой там Android.Joker прячется под видом безобидной матрешки с фонариком.

Slava90
04:58:38 2020-11-23

Интересна статья спасибо. По больше о троянах узнал.

Комментарии к другим выпускам | Мои комментарии

Вы используете устаревший браузер!

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Старые игрушки в цифровом мире

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей