Вы используете устаревший браузер!

Страница может отображаться некорректно.

Туманность Андроида

Туманность Андроида

Другие выпуски этой рубрики (22)
  • добавить в избранное
    Добавить в закладки

Агенты «Матрицы» не так уж и круты

Прочитали: 1710 Комментариев: 42 Рейтинг: 59

Слухи бродят по дворам… На этот раз – о вирусе, который заразил 25 миллионов Android-устройств.

Вирус Agent Smith заразил 25 миллионов устройств под управлением ОС Android

Это ПО незаметно для пользователя заражает устройство и заменяет обычное ПО вредоносными клонами, которые показывают большое количество рекламы.

Источник

Наши постоянные читатели знают, что вирусов (вредоносного ПО, которое умеет помещать вредоносный код в другие приложения) под Android не существует. Типичная угроза для Android OS – троянские программы. Чтобы устройство оказалось заражено, нужно, чтобы кто-то установил на него вредоносное ПО. Но, быть может, мы ошибаемся и вирусы есть? Читаем статью дальше:

После того, как жертва устанавливала мобильное приложение, вводился в работу этот компонент, который загружал и устанавливал еще один пакет приложений с вредоносом Agent Smith.

Как мы и говорили – это типичный троянец, интересный лишь тем, что начинал вредить не после установки приложения, а после загрузки обновления к нему.

Свежеустановленный (и обновленный) троянец маскируется в системе под легитимное ПО (например, Google Updater, Google Installer for U, Google Powers, Google Installer) и скрывает свой значок. Далее Android.InfectionAds.1 (так называется эта программа по классификации Dr.Web) подключается к управляющему серверу и получает от него список программ, которые ему необходимо заразить. Если же соединиться с удаленным центром ему не удалось, он инфицирует приложения, которые указаны в его первоначальных настройках. Затем троянец проверяет наличие на устройстве указанных приложений.

Найдя их, троянец добавляет свои компоненты в структуру указанных apk-файлов, не изменяя их цифровую подпись. Затем он устанавливает модифицированные версии приложений вместо оригиналов. Поскольку из-за уязвимости цифровая подпись инфицированных файлов остается прежней, программы инсталлируются как их собственные обновления.

Важно, что для системы данные «обновления», вполне возможно, будут считаться безопасными, так как вредоносный код внедрен в них без нарушения цифровой подписи. Для этого используется уязвимость Janus (CVE-2017-13156), которая дает возможность добавлять вредоносный код в установочный пакет (APK) без нарушения его целостности и, соответственно, цифровой подписи.

Зачастую подписывается не весь файл, а его часть. Цели могут быть разными. Например, если файл большой, то подсчет контрольной суммы может занять много времени. Или часть файла несет важные данные – их мы и подписываем, а информационная часть файла содержит данные о содержимом и может формироваться уже после подписания.

Источник

Уязвимость CVE-2017-13156 дает злоумышленнику возможность внедрять в приложения вредоносный код, не затронув подписанную часть файла.

Источник

Внешне измененный пакет для проверяющих подпись систем выглядит так же, как и раньше.

При этом установка также выполняется с использованием уязвимости EvilParcel без участия пользователя. В результате атакованные программы продолжают нормально работать, но содержат в себе копию Android.InfectionAds.1, которая незаметно функционирует вместе с ними. При заражении приложений троянцу становятся доступны их данные. Например, при инфицировании WhatsApp – переписка пользователя, а при инфицировании браузера – сохраненные в нем логины и пароли.

Источник

Проблема в том, что уязвимость Janus, хотя и исправлена, но только для ОС Android 7 и выше. А троянец встречается в основном на Android 5.0 и 6.0.

#Android #мобильный #обновления_безопасности #рекламное_ПО #уязвимость #цифровая_подпись #эксплойт

Dr.Web рекомендует

  1. Паниковать не следует. Новость об Android.InfectionAds.1, позже названного Agent Smith, вышла у нас еще 12 апреля. Пользователи Dr.Web защищены от агентов Матрицы :-)
  2. Agent Smith – это рекламное ПО. Пользователь вполне может и не заметить, что реклама стала немного другой или ее стало больше. Для обнаружения и удаления такого ПО нужен антивирус.
  3. Проверить, способно ли вредоносное ПО использовать на вашем устройстве уязвимость Janus, можно с помощью Менеджера уязвимостей Dr.Web в составе Dr.Web Security Space для Android.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей