8 апреля всем миром пишем Тотальный диктант с Dr.Web. Подробнее
Туманность Андроида

Туманность Андроида

Другие выпуски этой рубрики (13)
  • добавить в избранное
    Добавить в закладки

Вшито-скрыто

Прочитали: 4035 Комментариев: 115 Рейтинг: 276

Специалисты «Доктор Веб» неоднократно обнаруживали вредоносное программное обеспечение в прошивках смартфонов под управлением ОС Android. Иногда эти троянцы ведут себя довольно хитро — например, начинают свою деятельность не сразу, а через несколько месяцев, чтобы у владельца не возникали подозрения. И зачастую нельзя просто взять — и удалить таких троянцев: удаление зараженного файла может превратить телефон в «кирпич».

#drweb

Предустановленный на Philips s307 троянец находится непосредственно в прошивке смартфона — программа-лаунчер, в которую встроен троянец Android.Cooee.1, отвечает за нормальную загрузку ОС. Поэтому сброс к заводским параметрам не поможет избавиться от троянца. По этой причине перед удалением вредоносного приложения необходимо установить альтернативный лаунчер и настроить его запускающимся по умолчанию.

http://news.drweb.ru/show/?c=5&i=9792&lng=ru

Как в мобильном устройстве может оказаться троянец?

  1. Первый способ получить телефон с троянцем в прошивке — купить уже зараженное устройство. В таких случаях вредоносное ПО появляется на нем в момент заливки прошивки — на производстве или в сервисном центре.
  2. Прошивка может быть заражена и после покупки — а именно после окончания срока официальной поддержки устройства производителем.

    • Производителям невыгодно поставлять бесконечно долго обновления ОС Android на устаревшие модели, а иногда это даже технически невозможно. Это относится как к производителям, реализующим устройства под собственным брендом, так и к тем, кто заказывает устройства у производителей, а затем под собственным брендом реализует их через свою сеть. Последние могут передавать поддержку устройств иным фирмам. В этом случае пользователю может прийти обновление, переводящее поддержку на другую организацию. Ничего криминального в этом нет — меняется, например, адрес, по которому в случае необходимости со смартфона будет отсылаться информация.
    • Пользователям невыгодно постоянно менять смартфоны на устройства с более современными ОС — невелика беда, считают они, если устройство нормально работает, но у него устаревшая версия системы.
    • Вирусописателям выгодно использовать обнаруженные в старых версиях системы уязвимости, чтобы создавать вредоносные программы, которые получают root-полномочия и копируют себя или других троянцев в системные разделы. Обычно сброс к заводским настройкам помогает вылечить устройство, но иногда, в особо сложных случаях, изменения в системе такие серьезные, что может понадобиться перепрошивка на оригинальную чистую версию системы, иначе даже после сброса троянцы остаются.

Не будем уподобляться конспирологам и разрабатывать теории заговоров. Крайне маловероятно, что сами производители устройств находятся в сговоре с вирусописателями.

И производители, и владельцы бренда, под которым продается устройство, — равно как и пользователи, становятся жертвами недобросовестных партнеров или киберпреступников.

Троянцы в прошивках, скорее, свидетельствуют о том, что производители устройств еще недостаточно осознают масштаб бедствия. Скорее всего, они не проверяют «вшитое» в телефон ПО до заливки на вредоносность или проверяют поверхностно. Есть ли у производителя на то технические возможности и специалисты соответствующей квалификации, считает ли он своей обязанностью проводить такую проверку — это большой вопрос, который остается на его совести.

Как троянцы попадают в изначальную прошивку или в официальное обновление?

Каждую версию ОС Android собирают производители мобильных устройств. Они добавляют в телефон графическую оболочку, свои программы, программы других разработчиков, популярные в регионе поставки и т. п. Производители стремятся нафаршировать свою продукцию максимальным количеством самых нужных пользователям программ — это повышает привлекательность устройств. Разрабатывать самостоятельно все нужные программы ни один производитель не в силах, поэтому устанавливают программы в том числе сторонних компаний. Вот тут и могут подключиться киберпреступники: если разработчик нечист на руку, он может добавить в ПО что-то от себя.

Гипотетически троянцы в прошивке могут оказаться по следующим причинам:

  • На устройство заливается ПО, разработанное недобросовестной компанией — или добросовестной, в которой работает нечестный программист.
  • Вирусописатели могут получить доступ к ресурсам разработчиков ПО и скрытно внедрить троянца в создаваемый образ ОС.
  • Использование зараженного SDK (software development kit).
  • Криминальная группа берет партию устройств и перепрошивает версию ОС со своим троянцем. Затем зараженные устройства пускаются в продажу.

Обычно разработчики, которых уличили в наличии вредоносного функционала, утверждают, что их не так поняли, и функционал, принятый антивирусными исследователями за вредоносный, на самом деле — нужный, полезный и ни в коем случае не опасный.

  • Так, поставщик решений для смартфонов BLU утверждал после скандала, что отправка на китайские серверы текстовых сообщений и звонков пользователя осуществлялась исключительно с целью борьбы со спамом.
  • А разработчики SDK-платформы, классифицируемой Dr.Web как Android.Gmobi.1, заявляли, что функционал, позволяющий делать на устройстве по большому счету что угодно, — это способ экономить деньги все того же пользователя, и никакой опасности в этом нет.

Однако все эти истории объединяет одно — после обнаружения аналитиками «Доктор Веб» всего лишь потенциально вредоносного функционала разработчики убирали его из своих продуктов.

#Андроид #мобильный #троянец #настройки_Dr.Web

Dr.Web рекомендует

  1. Слепо доверять нельзя никому. Увы, многие пользователи стремятся «облегчить» антивирусную проверку за счет сканирования только скачиваемых файлов и отказа от постоянной проверки файловым монитором. Однако, как показано выше, троянец может «сидеть» в устройстве как изначально, так и прийти в запакованном официальном обновлении уже после покупки аппарата. Поэтому полная периодическая проверка смартфонов и планшетов — суровая необходимость!
  2. Антивирус не может знать все вредоносные программы. Может так случиться, что с обновлением на устройство попадет новейшая вредоносная программа, пока не известная аналитикам. На этот случай у пользователей Dr.Web Security Space для Android есть возможность отправить образец такого ПО на анализ.

    Для этого выполните следующие действия.

    • Нажмите и удерживайте файл в списке объектов файловой системы, затем нажмите кнопку Отправить в лабораторию.

      #drweb

    • На следующем экране введите адрес своей электронной почты, если хотите получить результаты анализа отправленного файла.
    • Выберите одну из категорий для вашего запроса:

      • подозрение на вирус — если вы считаете, что файл представляет угрозу;
      • Ложное срабатывание или Ложное срабатывание Origins Tracing — если считаете, что файл был ошибочно отнесен к угрозам.
    • Выбор одной из представленных категорий в случае ложного срабатывания осуществляется на основании имени угрозы, предположительно содержащейся в отправляемом файле: если в названии присутствует постфикс «.origin», следует выбирать категорию Ложное срабатывание Origins Tracing, в остальных случаях — Ложное срабатывание.

Получайте Dr.Web-ки, оценивая выпуск! (1 голос = 1 Dr.Web-ка)

Авторизуйтесь и получите 10 Dr.Web-ок за публикацию ссылки на выпуск в соцсети.

[MAIL.RU] [Twitter]

В связи с техническими ограничениями Вконтакте и Facebook, мы, к сожалению, не можем дать Dr.Web-ок. Но зато вы можете поделиться ссылкой на этот выпуск безвозмездно. Т.е. даром.

Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: