Доктор Веб: Угрозы для Android за 2012 год


Hit WebСМС-трояны
Трояны семейства Android.SmsSend, начиная с 2010 года и по сей день, стали настоящей головной болью пользователей мобильных Android-устройств. Эти вредоносные программы предназначены для отправки СМС-сообщений на премиум номера и подписки абонентов на различные контент-услуги. Подобные действия могут повлечь за собой серьезные финансовые потери (при этом жертва даже не будет знать, что деньги списаны с ее счета). Чаще всего такие вредоносы распространяются под видом популярных игр и приложений, а также их обновлений, однако могут встречаться и другие каналы распространения.

Populyarnie prilojeniya dlya Android

Создание большинства подобных программ не требует особых знаний, большого количества времени и средств, а все затраты злоумышленников покрывает полученная прибыль от их использования.

Широкое распространение троянов обусловлено хорошо развитой сетью партнерских программ, предлагающих весьма выгодные условия оплаты всем своим участникам. Например, летом 2012 года были зафиксированы многочисленные случаи взлома легитимных веб-сайтов, модифицированных злоумышленниками таким образом, что пользователи, посещающие их с мобильных устройств, перенаправлялись на мошеннические ресурсы, распространяющие эти вредоносные программы.

Трояны семейства Android.SmsSend набрали такую популярность в 2012 году благодаря своей относительной простоте, высокой окупаемости и эффективности применяемых методов распространения.


Кража конфиденциальной информации

Возможности мобильных Android-устройств, продолжающийся рост числа их пользователей привели к проблеме сохранности конфиденциальной информации. Рискам в этой сфере подвержены как простые пользователи, так и представители коммерческого и государственного секторов, а ценные сведения, интересующие злоумышленников, могут быть самыми разнообразными.


Шпионы — пособники спамеров
В 2012 году была обнаружена довольно специфическая группа троянов-шпионов, направленных против жителей Японии. Эта группа троянов распространялась при помощи спам-писем, в которых пользователям предлагалось установить то или иное "полезное" приложение, начиная от эротической игры и заканчивая оптимизатором расхода аккумулятора.

Troyani shpioni dlya Android

В эту группу вошли:

  • Android.MailSteal.1.origin;
  • Android.Maxbet.1.origin;
  • Android.Loozfon.origin;
  • Android.EmailSpy.origin.


Их основная задача — похищение адресов электронной почты из книги контактов мобильного устройства и отправка их на удаленный сервер. Некоторые разновидности троянов могут отправлять злоумышленникам не только адреса электронной почты, но и всю информацию из телефонной книги, а также идентификаторы устройства, включая номер сотового телефона. Всю добытую информацию киберпреступники могут использовать для организации новых спам-кампаний или для продажи на черном рынке.


Узконаправленные атаки
Узконаправленные, точечные или таргетированные атаки представляют серьезную угрозу, т.к. в отличие от большинства обычных атак, они направлены не на максимально возможное число пользователей, а на их ограниченный круг, что снижает вероятность оперативного и эффективного обнаружения используемых при преступлении вредоносных программ.

Advanced Persistent Threat или APT-атака - один из вариантов точечной атаки, суть которой сделать так, чтобы вредоносная программа как можно дольше оставалась в скомпрометированной системе без обнаружения и получила при этом максимально возможный объем ценных сведений. Жертвами в данном случае становятся различные компании, организации и государственные структуры.

До недавнего под ударом подобных кампаний находились лишь "большие" компьютерные системы, такие как рабочие станции и серверы. Однако в 2012 году была зафиксирована новая APT-атака. При детальном изучении данной атаки была обнаружена вредоносная программа Android.Luckycat.origin, функционалом которой было:

  • выполнение команд, поступающих с управляющего сервера;
  • загрузка различных файлов с мобильного устройства и на него;
  • сбор идентификационных данных;
  • некоторые другие возможности.

Android.Luckycat.origin

Как выяснилось, троян Android.Luckycat.origin находился в стадии разработки, а свидетельств его применения на практике не было. Однако факт существования такого инструмента дает серьезное основание полагать, что мобильные Android-устройства в скором времени могут стать такой же привычной мишенью APT-атак, как и обычные компьютеры.

Еще одним инструментом проведения таргетированных атак с целью завладения конфиденциальной и ценной информацией стали мобильные банковские трояны, крадущие одноразовые коды mTAN. Данные коды отправляются банковскими системами в СМС-сообщениях на привязанный к клиентскому счету номер мобильного телефона. Это сделано для обеспечения безопасности финансовых операций в сети Интернет. Для успешного завершения транзакции, пользователю необходимо ввести в специальную веб-форму полученный код. Мобильные банковские трояны предназначены для перехвата СМС-сообщений, кражи этих кодов и передачи их злоумышленникам, выполняющих различные финансовые операции с электронными счетами ничего не подозревающих жертв.

В 2012 году было зафиксировано лишь нескольких новых представителей этого класса троянов, направленных на мобильную операционную систему от Google. Ими стали:

  • Android.SpyEye.2.origin;
  • Android.Panda.2.origin;
  • Android.SmsSpy.6.origin;
  • Android.FakeSber.1.origin.

Predstaviteli razlichnih vredonosnih prog dlya Android

Типичный способ распространения таких вредоносных программ — социальная инженерия, т.е., когда пользователя вводят в заблуждение, предлагая срочное обновление операционной системы или установку некоего сертификата безопасности, необходимого для дальнейшего получения финансовых услуг.

Случаи появления банковских троянов для ОС Android - редкие, а проводимые с их помощью атаки - весьма эффективны. Именно благодаря неширокой распространенности таких приложений и направленности на пользователей конкретных банковских систем снижается вероятность их быстрого обнаружения и обеспечения необходимой защиты от них.

Среди всех этих вредоносных программ стоит особо выделить Android.FakeSber.1.origin - первый банковский Android-троян, направленный против клиентов российского банка. До его появления киберпреступников интересовали лишь зарубежные пользователи. Данный троян, в отличие от своих собратьев, был помещен злоумышленниками непосредственно в официальный каталог приложений Google Play. К моменту удаления трояна из каталога, установить его успели немногие. Однако, потенциальная опасность, которую он представлял, была весьма существенной.

Принцип работы Android.FakeSber.1.origin, был схож со схемами, применяемыми злоумышленниками в других банковских Android-троянах.

  • Во-первых. Чтобы заставить пользователей выполнить его установку, была использована распространенная тактика запугивания. На официальном веб-сайте банка посетителям демонстрировалось сообщение о необходимости авторизации при помощи мобильного телефона. Это сообщение отображалось благодаря Windows-трояну, заразившему компьютеры жертв и работавшему в связке с Android.FakeSber.1.origin. Пользователям предлагалось установить специальное приложение, которое на самом деле и было мобильным банковским трояном.

  • Во-вторых. Попав на мобильное устройство, эта вредоносная программа имитировала ожидаемый функционал, усыпляя бдительность пользователя. В конечном итоге, Android.FakeSber.1.origin скрытно перехватывал все входящие сообщения и пересылал полученные из них сведения на удаленный сервер, поэтому помимо mTAN-кодов в руках киберпреступников могли оказаться и другие конфиденциальные сведения.


Коммерческое шпионское ПО
Потенциальную угрозу сохранности персональной информации продолжают нести различные виды коммерческого программного обеспечения для мониторинга и шпионажа. Большинство подобных шпионов может использоваться как с согласия владельца мобильного устройства, так и без его ведома. Для их установки обычно требуется физический доступ к мобильному устройству, однако после установки данные приложения способны скрывать свое присутствие в системе. Наиболее распространенными функциями таких шпионов являются:

  • отслеживание СМС-сообщений;
  • получение координат пользователя;
  • перехват совершаемых им звонков;
  • запись происходящего вокруг в аудио-файл.


Затруднение анализа, разделение функционала и активное противодействие удалению
В мае 2012 года специалистами компании Доктор Веб была обнаружена своеобразная матрешка из трех вредоносных приложений. Дроппер Android.MulDrop.origin.3 содержал в своих ресурсах зашифрованный пакет, являющийся дроппером (Android.MulDrop.origin.4). Он, в свою очередь, имел в своих ресурсах еще один зашифрованный пакет, представляющий собой трояна-загрузчика Android.DownLoader.origin.2, способного получать с удаленного сервера список приложений для загрузки на мобильное устройство.

Troika vredonos prilojenii

Для успешного функционирования разработанной схемы были необходимы root-привилегии, а так как основной дроппер находился в модифицированном злоумышленниками легитимном приложении, для работы которого требовался root-доступ, у пользователей не должно было возникнуть серьезных опасений в связи с необходимостью предоставления ему соответствующих прав. Примененный в данном случае механизм является весьма эффективным способом избежать лишних подозрений и увеличить шансы успешного заражения мобильного Android-устройства.

Другой пример разделения функционала между несколькими вредоносными приложениями - Трояны Android.SmsSend.405.origin и Android.SmsSend.696.origin.
Трояны Android.SmsSend.405.origin в различных модификациях распространялся в каталоге Google Play под видом сборника обоев для рабочего стола, доступ к которым пользователь мог получить, нажав кнопку "Далее". После нажатия пользователем на кнопку "Далее" приложение подключалось к облачному сервису Dropbox и загружало второй программный пакет, который являлся СМС-трояном. Подобным переносом основного функционала во второе приложение, расположенное вне Google Play, злоумышленники пытались обойти систему Bouncer, контролирующую каталог на предмет наличия вредоносных программ.

Также в 2012 году у некоторых вредоносных Android-приложений появился функционал по противодействию своему удалению. Например, троян Android.Relik.origin, завершающий работу популярных китайских антивирусных средств и запрашивая у пользователя доступ к режиму администратора мобильного устройства. В случае активации этого режима другие антивирусные программы уже не смогли бы удалить трояна. Для беспрепятственного удаления этой вредоносной программы пользователю необходимо лишь убрать вредоносное приложение из списка администраторов.

Android.SmsSend.186.origin - китайский троян, который также противодействует своему удалению. Сразу после установки он отображает требование предоставить ему права администратора мобильного устройства. В случае отказа требование выводилось вновь и вновь до тех пор, пока троян не получал соответствующие права.

Kitaiskii troyan Android.SmsSend.186

Попытки убрать трояна из списка администраторов мобильного устройства на некоторых версиях ОС Android заканчивались полным провалом, так как Android.SmsSend.186.origin не давал владельцу мобильного устройства зайти в необходимые системные настройки. Антивирусные средства, не располагающие функционалом по нейтрализации таких угроз, также не могли избавить систему от инфицирования, даже при детектировании вредоносной программы. Самостоятельное избавление от трояна требует выполнения ряда нетривиальных действий и определенной доли терпения. К тому же, эта вредоносная программа распространялась при помощи дроппера, помещенного киберпреступниками в "живые обои", которые при установке не требовали никаких специальных разрешений для своей работы. Таким образом, Android.SmsSend.186.origin представляет собой одну из самых серьезных за последнее время Android-угроз.

Нельзя не отметить тенденцию к росту использования авторами вредоносных программ обфускации кода, призванной затруднить анализ троянов и помешать их детектированию антивирусными средствами. Например, обфускация встречается в целом ряде представителей семейства Android.SmsSend.


Интересные и необычные угрозы
Android.MMarketPay.origin - троян, самостоятельно покупающий приложения в электронном магазине китайского оператора связи China Mobile, путем перехвата СМС-сообщений с кодами подтверждения совершения покупки. Троян также способен обходить проверку captcha, отправляя на удаленный сервер соответствующие изображения для анализа. Цель данного трояна - желание недобросовестных разработчиков увеличить прибыль за счет подобной незаконной продажи своих приложений, а также желание досадить пользователям и сотовому оператору, репутация которого могла заметно пострадать.


Рынок заказных услуг киберпреступников
Большая часть современных вредоносных программ создается для заработка самых разнообразных групп киберпреступников. Не исключение и появившиеся в 2012 году Android-трояны Android.Spambot.1.origin и Android.DDoS.1.origin.

  • Android.Spambot.1.origin - троян, предназначенный для массовой рассылки СМС-спама. Текст сообщений и номера, по которым осуществлялась рассылка, загружались с удаленного сервера, принадлежащего злоумышленникам, поэтому им не составляло большого труда выполнить спам-рассылку для заинтересованных лиц. Для скрытия своей вредоносной деятельности, троян удалял все сведения об отправляемых СМС, и владельцы инфицированных мобильных устройств могли не сразу обнаружить подозрительную активность.

  • Android.DDoS.1.origin — вредоносная программа, предназначенная для осуществления DoS-атак с использованием мобильных Android-устройств. Параметры, необходимые для их проведения, троян получал посредством СМС-сообщений, в которых указывались имя сервера и требуемый порт. Особенность данной вредоносной программы в том, что атакуемый сайт мог быть абсолютно любым, поэтому теоретически воспользоваться возможностями этой вредоносной программы могли все, кто проявит должный интерес и заплатит соответствующую цену за оказание незаконной услуги.


Вандализм
Android.Moghava - троян-вандал, распространяющийся в модифицированной злоумышленниками версии приложения — сборника рецептов иранской кухни. Через определенные промежутки времени троян выполнял на мобильном устройстве поиск JPEG-изображений в каталоге

  • /DCIM/Camera/

и накладывал на них еще одно изображение, в результате чего фотографии пользователя безвозвратно портились.

Troyan vandal Android

Обычно подобные вредоносные программы создаются с целью громко заявить о себе, либо в качестве мести или простого развлечения. Иногда цель таких вредоносных программ - попытка совершить диверсию среди определенной группы лиц. Так или иначе, ущерб от подобных приложений может быть весьма существенным.


Выводы

На конец 2012 года вирусные базы Dr.Web содержали почти 1300 записей для Android-угроз.

Распределение различных типов угроз для Android в 2012 году

Raspred razlichnih tipov ugroz dlya Android v 2012

С ростом популярности мобильных устройств под управлением ОС Android, увеличивается число и разнообразие вредоносных приложений, представляющих опасность для пользователей этой платформы. Описанные выше типы угроз в 2012 году стали наиболее заметными, а также продемонстрировали потенциальный вектор развития вредоносных Android-программ в ближайшем будущем. Одновременно с этим могут появляться и вредоносные приложения, сочетающие в себе свойства самых разнообразных угроз или же являющиеся "нестандартными" по сравнению с общей массой, что во многом повторяет ситуацию с Windows. Учитывая, что в ближайшие несколько лет мобильная платформа Android будет оставаться среди лидеров рынка, стоит ожидать дальнейшего роста числа созданных для нее вредоносных программ.