Уже не раз говорилось о том, что чем популярнее
операционная система, тем выше интерес к ней со стороны вирусописателей.
Это утверждение с уверенностью можно применить к ОС Android.
Android.SmsSend — горячая семейка СМС-троянцев
Одно из первых упоминаний этого троянца относится к 4 августа
2010 года. Казалось бы, совсем недавно. Однако не стоит удивляться.
Мобильный рынок очень динамичен, и вирусописателям также приходится
проявлять изобретательность и действовать быстро.
Именно в тот день пользователь известного российского форума 4pda.ru/forum,
посвященного мобильным телефонам, смартфонам и КПК, пожаловался на
некую программу-видеоплеер, закачивающуюся с определенного сайта. В
разрешениях к этой программе была указана работа с СМС, а точнее их
отправка — permission.SEND_SMS. На следующий день на том же форуме еще
один пользователь сообщил о данном файле. Распространялся он с именем RU.apk. Файл имел иконку видеоплеера и носил соответствующее имя: MoviePlayer.
Интересная деталь: дата создания файлов внутри пакета — 29 июля 2010
года. Получается, что троянец безнаказанно распространялся почти неделю.
Пользователи форума отправили подозрительный файл в антивирусные компании 5 августа. Тогда же Android.SmsSend.1 был добавлен в базы производителей антивирусов.
7 сентября 2010 года на сайте http://www.mobile-review.com в разделе, посвященном системе Android, вышла небольшая заметка от компании «Доктор Веб», повествующая уже о новой версии Android.SmsSend,которая отличаласьизменившейся иконкой и названием пакета. Новая модификация была добавлена в вирусные базы в тот же день, 7
сентября 2010 года, под именем Android.SmsSend.2. Как и при обнаружении
Android.SmsSend.1, детектирование в зарубежных антивирусных продуктах
появилось чуть позднее, что вполне логично, учитывая, что троянцы
данного семейства нацелены на пользователей смартфонов в России.
Практически месяц об СМС-троянцах для Android ничего не было слышно,
за исключением бурных дискуссий касательно уже обнаруженных версий. Их
появление вызвало немало споров как среди специалистов, так и среди
обычных пользователей. Кто-то считал, что подхватить такой троянец
невозможно, если соблюдать элементарные правила — быть внимательным,
особенно оказавшись на подозрительном сайте, проверять разрешения для
программ при установке. Другие оппонировали — невнимательность и
любопытство свойственны людям, и никакая осторожность при посещении
сомнительных ресурсов не гарантирует полную защиту от угроз.
14 октября 2010 года в СМИ появилась информация об обнаружении новой
версии СМС-троянца. Ее создатели вернули первоначальную иконку плеера;
имя распространяемого пакета было прежнее: pornoplayer.apk. Соответствующее обновление баз Dr.Web произошло еще 11 октября.
Этот троянец интересен способом проникновения на смартфоны жертв.
Владельцы сайтов с контентом для взрослых (о сайтах других категорий
пока ничего не известно) в рамках партнерской программы могут добавлять
на свои страницы функцию загрузки троянца. Но хитрость заключается в
том, что Android.SmsSend будет загружен только тогда,
когда посещение сайта происходит с браузера мобильного устройства. В
случае Android-смартфона при посещении такого сайта без согласия
пользователя будет загружен СМС-троянец для ОС Android. Пользователь
может ничего и не заметить, кроме быстро исчезающего системного
сообщения о начале загрузки. В дальнейшем, случайно или из любопытства
владелец смартфона может установить программу, а пикантное название или
невнимательность в свою очередь приведут к ее запуску. Если же зайти на
такие сайты с другого мобильного устройства, например обычного сотового
телефона, то загружаться будет СМС-троянец, написанный на J2ME. Если на
подобный сайт зайти с обычного компьютера, троянец не будет загружен, а
браузер в большинстве случаев откроет искомый сайт или домашнюю страницу
одного из известных поисковиков.
Из Китая «с любовью»
Особенность этой группы, прежде всего, в происхождении и способе распространения. Речь идет о Android.Geinimi, Android.Spy и Android.ADRD (по классификации Dr.Web). Родина этих вредоносных программ — Китай. А известность они получили с конца 2010 года.
Эти троянцы распространяются под видом известных программ, игр и
живых обоев. Среди этого перечня — как популярное во всем мире, так и
известное лишь в Китае ПО. В основном эти вредоносные программы
распространяются на китайских форумах, сайтах, посвященных мобильным
технологиям, а также на файлообменниках.
Схема заражения в этом случае выглядит следующим образом:
пользователь смартфона скачивает и устанавливает себе такую программу,
запускает ее; внешне она работает так, как, в принципе, и должна: в игру
можно играть, в программах нет никаких сбоев, функционал соответствует
названию. Однако скрытно от пользователя вместе с основной программой
запускается и ее троянская составляющая. В то время как вы беззаботно
играете или пользуетесь программой, троянский сервис в фоне незаметно от
вас собирает информацию о ваших контактах, СМС, IMEI смартфона и данные
сим-карты. Вся эта информация отправляется на сервер авторов троянца.
В функционал Android.Geinimi входит определение
местоположения смартфона, загрузка файлов из Интернета (другие
программы), считывание и запись закладок браузера, чтение контактов,
совершение звонков, отправка, чтение и редактирование СМС, а также
другие возможности. Даже если закрыть запущенную программу, троянский
сервис продолжит свою работу в фоне.
Android.Spy,помимо чтения и записи контактов,
отправки, чтения и редактирования СМС, определения координат и других
возможностей, имеет функцию автозагрузки. Его действиями создатели могут
управлять удаленно через СМС. Android.Spy также может
загружаться при включении смартфона, но его цель несколько иная — сбор
идентификационных данных смартфона, возможность задания определенных
параметров поиска в поисковом движке, а также переход по ссылкам.
Троянец может загружать свои обновления, но для установки все же
необходимо участие пользователя.
Один из признаков того, что устанавливаемая программа содержит такого
троянца, — дополнительные разрешения, которые требуются для работы.
Например, если для игры в ее оригинальном виде нужен лишь доступ в
Интернет, то в инфицированной версии количество привилегий будет намного
выше. Поэтому, если вам точно известно, что данная программа или игра
не имеет функций работы с СМС, звонками, контактами и т. п., то мудрым
решением будет не связываться с ней.
На сегодняшний день известно 26 модификаций Android.Spy, 25 модификаций Android.Geinimi и 12 модификаций Android.ADRD. Из угроз, проявившихся совсем недавно, стоит выделить Android.Youlubg. Как обычно, злоумышленники воспользовались известной программой, добавив в нее вредоносный функционал. Основная функция Android.Youlubg
— сбор персональной информации абонента и связь с управляющим сервером.
Еще одна пока неподтвержденная возможность — отправка СМС на сервисный
платный номер. Вероятно, для подписки на одну из нежелательных услуг.
«Шпионят потихоньку»
Помимо классических троянских программ, угрозу для пользователя
смартфона на базе ОС Android представляют и коммерческие шпионские
программы. В их возможности, в зависимости от компании-производителя,
входит слежение за координатами владельца смартфона, прослушивание
окружающей обстановки, чтение входящих и исходящих СМС, контроль звонков
и т. п. «Легальная» идея, под которой они распространяются, —
возможность контролировать, а также защищать детей, контроль подчиненных
или проверка на верность своей второй половины.
Наиболее известные коммерческие программы-шпионы — Flexispy, Mobile Spy и Mobistealth.
Большинство производителей таких программ предлагают свои решения сразу
для нескольких мобильных платформ: Symbian, Android, Blackberry,
Windows Mobile, iPhone, iPad, Maemo (для iPhone и iPad необходимым
условием для установки и работы является jailbreak-аппарата).
Большинство таких программ продаются с подпиской на год. Цена зависит от функционала конкретной версии программы.
Для установки такого «жучка» на мобильном устройстве того, за кем
предполагается слежка, необходим физический доступ к самому аппарату,
так как перед использованием программы ее необходимо правильно
настроить, а также стереть все возможные следы того, что с устройством
что-то происходило без ведома его владельца.
Но как же эти шпионы остаются незамеченными в системе?
В случае Android после установки большинство шпионских программ не
имеют иконки на рабочем столе. А если и имеют, то с нейтральным
названием. В случае запуска программы через эту иконку активируется
специальная часть, призванная снять все подозрения: это может быть
простенькая игрушка, калькулятор и т. п. Если же пользователь посмотрит
список установленных программ в системном меню, то шпион в большинстве
случаев будет носить нейтральное имя или имя, похожее на название
какого-нибудь системного модуля.
Некоторые коммерческие и бесплатные шпионские программы присутствуют в
официальном магазине приложений Android Market. Другие требуется
скачивать с собственных сайтов непосредственно с целевого смартфона или
же копировать на карту памяти. Все подобные программы-шпионы можно
использовать как в легальных, так и нелегальных целях.
Угроза с тыла
В начале марта 2011 года в СМИ появилась информация о том, что в
Android Market были найдены программы и игры, содержащие троянский
функционал. В популярное ПО кем-то были добавлены троянские функции.
Общее число таких приложений — около 50.
В возможности Android.DreamExploid, который и явился
причиной данного заражения, входит сбор информации об устройстве, на
котором он установлен, включая IMEI и абонентский номер, возможность
подключения к Интернету для связи с авторами, но, самое главное, —
троянец устанавливал эксплойт, который без ведома пользователя пытался
произвести повышение привилегий программного окружения смартфона. То
есть вместо стандартных ограниченных возможностей пользователь получал
систему с правами администратора.
Кроме того, Android.DreamExploid имеет возможность
загрузки программ из Интернета и их установки в обход пользователя (в
случае удачной эксплуатации уязвимости).
Хотя компания Google уже удалила из своего магазина приложений все
известные версии программ с этим троянцем, а также произвела операцию
удаленного изъятия (т. н. Kill Switch) установленных программ на
смартфонах пользователей, нельзя исключать возможности появления новых
версий троянца как на Android Market, так и на других площадках.
Заключение
Как это не раз подтверждалось, популярность операционной системы
неизбежно влечет за собой рост интереса к ней со стороны создателей
вирусов. ОС Android — очередное тому подтверждение.
Вместе с технологиями активно развиваются и вредоносные программы для
мобильных устройств. Чем больше возможностей заложено в мобильном
устройстве, тем больше возможностей у вредоносной программы — об этом не
стоит забывать.
Несомненно, чтобы защититься от киберугроз, необходимо быть острожным
и внимательным. Однако использование антивирусных программ — еще один
надежный способ снижения рисков.
|