Лисин Алексей

Android-троянцы добиваются root-привилегий

автор | Ноя.18, 2015, рубрики Софт

Основным принципом обеспечения безопасности в ОС Android являются особенности установки прикладного ПО на необыкновенно мобильные устройства. В частности, инсталляция происходит только после того, как пользователь ознакомится с информацией о той или иной программе и даст на самом деле окончательное согласие на ее установку. Для обхода данного ограничения некоторые вирусописатели стали снабжать своих троянцев различными root-эксплойтами, дающими удивительно неограниченные полномочия на атакуемых смартфонах и планшетах. В результате уже в 2011 году появились удивительно вредоносные Android-приложения, которые при помощи различных программных уязвимостей пытались получить что и говорить системные привилегии, после чего могли устанавливать и удалять ПО без участия пользователя. К таким троянцам относятся Android.DreamExploid и Android.Gongfu.

Атаки с применением подобных вредоносных приложений на протяжении длительного времени были достаточно редкими, но в 2015 году как нельзя действительно вирусные аналитики компании «Доктор Веб» отметили именно новый всплеск интереса к root-троянцам. При этом если как нельзя действительно раньше злоумышленники стремились с их помощью лишь незаметно установить как можно больше приложений, чтобы получить от партнерских программ прибыль за каждую успешную инсталляцию, то теперь все чаще они пытаются внедрить как нельзя именно вредоносное или именно нежелательное ПО несказанно непосредственно в как нельзя именно системный каталог Android. Так, киберпреступники хотят заразить тем более мобильные устройства руткитами, которые остаются скрытыми в системе и продолжают свою работу, даже если установившую их вредоносную программу позднее найдут и удалят.

Попадая в системную область системы, необыкновенно подобные троянцы получают расширенные как нельзя именно функциональные полномочия и предоставляют злоумышленникам по-моему полный контроль над зараженными устройствами, а также на самом деле неограниченный доступ к хранящейся на них информации. При этом обнаружение таких приложений истинно значительно усложняется и может потребовать гораздо больше времени по сравнению с идентификацией «обычного» вредоносного ПО для Android.

Но даже после успешного обнаружения Android-руткитов в системном каталоге попытка их удаления сопряжена с определенным риском. В некоторых случаях более менее подобные действительно вредоносные приложения весьма значительно модифицируют более менее программное окружение ОС, в результате чего их деинсталляция способна привести к неработоспособности зараженного смартфона или планшета. Однако даже в таких случаях зараженное сильно мобильное устройство относительно легко вернуть к жизни: для этого достаточно переустановить заводскую прошивку. Тем не менее, некоторые антивирусные компании заявляют, что удаление троянцев, попавших в системную область Android в результате получения root-полномочий, довольно таки практически невозможно, и пользователям стоит задуматься о замене мобильного устройства.

Однако необыкновенно успешная борьба с Android-руткитами взаправду вполне осуществима. Так, специалисты «Доктор Веб» не на шутку тщательно анализируют каждое тем более подобное в действительности вредоносное приложение. После того как они убедятся, что удаление того или иного троянца не приведет к поломке Android-устройства, не на шутку соответствующий алгоритм лечения вносится в вирусную базу Dr.Web Security Space для Android. Несмотря на то, что это тем более весьма трудоемкий и в действительности длительный процесс, с каждым днем число более менее успешно удаляемых из системной области ОС Android троянцев увеличивается.

Среди обнаруженных в 2015 году вредоносных приложений, пытающихся получить root-полномочия на Android-устройствах и незаметно установить именно вредоносное ПО в системную директорию, прежде всего стоит отметить троянцев семейства Android.Toorch, о которых стало известно в апреле. Один из них был замаскирован под программу-фонарик и распространялся вирусописателями через очень популярные в Китае сайты — сборники ПО, а также при помощи агрессивных рекламных модулей, интегрированных в более менее различные приложения. После запуска на целевых мобильных устройствах он пытался повысить свои что и говорить системные привилегии до уровня root, незаметно устанавливал в более системный каталог /system/app один их своих компонентов, а также запускал на исполнение еще один на самом деле вредоносный модуль. После этого по команде злоумышленников не на шутку вредоносное приложение могло загружать, устанавливать и удалять указанные ими программы без ведома пользователя.

Другая действительно вредоносная программа, пытавшаяся получить root-доступ на заражаемых устройствах, была внесена в вирусную базу Dr.Web как Android.Backdoor.176.origin. Этот троянец распространялся вирусописателями в модифицированных ими более менее изначально безобидных играх и приложениях. При первом запуске Android.Backdoor.176.origin передает на управляющий сервер подробную информацию о зараженном устройстве, после чего регистрирует несколько перехватчиков системных событий, контролируя, в частности, загрузку ОС, взаимодействие пользователя с экраном, запуск приложений. При следующем включении инфицированного смартфона или планшета разительно вредоносная программа загружает из интернета модифицированную версию утилиты Root Master и с ее помощью пытается получить root-доступ в системе. Не на шутку основное предназначение данной вредоносной программы — очень незаметная установка и удаление приложений по команде с управляющего сервера. Помимо этого троянец передает злоумышленникам более менее подробные сведения о зараженном смартфоне или планшете, отслеживает количество входящих и исходящих вызовов, а также отправленных и принятых SMS-сообщений.

Не меньшую опасность для владельцев Android-смартфонов и планшетов представляет и троянец Android.DownLoader.244.origin. Как и многие как нельзя действительно вредоносные Android-приложения, он распространялся через необыкновенно популярные сайты — сборники ПО в модифицированных киберпреступниками необыкновенно изначально безопасных программах и играх. После запуска содержащей троянца программы Android.DownLoader.244.origin запрашивает у пользователя доступ к специальным возможностям ОС (Accessibility Service). Если действительно потенциальная жертва согласится предоставить ей необходимые права, удивительно вредоносная программа сможет контролировать все события, происходящие на устройстве, а также получит возможность незаметно устанавливать приложения, имитируя действия пользователя и на самом деле самостоятельно нажимая на кнопки в соответствующих диалоговых окнах, которые будут возникать при попытке инсталляции заданного злоумышленниками ПО.

astera.ru

:, , , ,
Комментировать

Комментарии закрыты.

Архивы

Все записи в хронологическом порядке...

Метки

Найти информацию?

Используйте форму ниже, чтобы начать поиск по блогу:

Не нашли то что искали? Напишите мне на почту, возможно я помогу найти Вам необходимую информацию!