Исследование

Зловреды на Android Market

Каждый день появляются новые сообщения о вредоносных программах для Android. Однако на этот раз три разработчика – MYOURNET, Kingmall2010 и we20090202 (не исключено, что это один и тот же человек) – предлагали для бесплатной загрузки несколько приложений для устройств на базе Android не где-нибудь, а на Android Market.

Многие, если не все, предлагаемые ими приложения оказались копиями легитимных программ, созданных другими разработчиками, с добавленным троянским функционалом.

Я, в частности, загрузил приложение под названием Super Guitar Solo. Анализ показал, что оно содержит популярный root-эксплойт «rage against the cage», позволяющий троянцу получить на телефонах Android права root-доступа и вместе с ними – привилегии суперпользователя. Как скажет вам любой Linux-гуру, права суперпользователя обеспечивают полный – на уровне администратора – доступ к операционной системе телефона. В данном случае запуск эксплойта происходит без согласия пользователя.

Какова же цель этого троянца? Программа пытается собрать, среди прочего, следующие данные: product ID, user ID, тип устройства, язык, страну и др. – и загрузить собранные данные на удаленный сервер. В отличие от большинства других известных нам образцов, этот зловред не делает попыток отправлять платные SMS-сообщения на премиум-номера.

Мы придаем этому инциденту такое значение потому, что до сих пор практически все вредоносные программы для Android появлялись за пределами Android Market. Соответственно, для заражения телефонов требовались дополнительные усилия. Однако новая версия Android Market позволяет устанавливать приложения на устройство удаленно – через веб-интерфейс. Об этом мы уже писали в блоге «Темная сторона нового Android Market».

Кроме того, как и предсказывали в прошлом году наши эксперты, киберпреступники взяли на вооружение утилиты для джейлбрейкинга (разблокировки операционной системы мобильного телефона). Об опасностях джейлбрейкинга вы можете узнать из нашего вебкаста The Dangers of Jailbreaking.

По всей вероятности, описанные выше вредоносные программы – далеко не все, что доступны в данный момент на Android Market. Специалисты «Лаборатории Касперского» рекомендуют внимательно следить за тем, какие права доступа запрашивает каждое приложение при установке. Кроме того, эта ситуация в очередной раз показывает, какие опасности таит в себе джейлбрейкинг и повышение привилегий пользователя устройства до уровня администратора (rooting). Начиная с 1 февраля продукты «Лаборатории Касперского» детектируют root-эксплойт, о котором здесь идет речь, как Exploit.AndroidOS.Lotoor.g или Exploit.AndroidOS.Lotoor.j. Так что если вы – пользователь продукта Kaspersky Mobile Security, то ваше устройство от этого зловреда защищено.

Эксперты «Лаборатории Касперского» продолжают изучение данного образца.

ОБНОВЛЕНИЕ: Google удалил из Android Market описанные нами вредоносные приложения и страницу, с которой их можно было загрузить.

Зловреды на Android Market

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике