Исследование

Зловреды на Android Market

Каждый день появляются новые сообщения о вредоносных программах для Android. Однако на этот раз три разработчика – MYOURNET, Kingmall2010 и we20090202 (не исключено, что это один и тот же человек) – предлагали для бесплатной загрузки несколько приложений для устройств на базе Android не где-нибудь, а на Android Market.

Многие, если не все, предлагаемые ими приложения оказались копиями легитимных программ, созданных другими разработчиками, с добавленным троянским функционалом.

Я, в частности, загрузил приложение под названием Super Guitar Solo. Анализ показал, что оно содержит популярный root-эксплойт «rage against the cage», позволяющий троянцу получить на телефонах Android права root-доступа и вместе с ними – привилегии суперпользователя. Как скажет вам любой Linux-гуру, права суперпользователя обеспечивают полный – на уровне администратора – доступ к операционной системе телефона. В данном случае запуск эксплойта происходит без согласия пользователя.

Какова же цель этого троянца? Программа пытается собрать, среди прочего, следующие данные: product ID, user ID, тип устройства, язык, страну и др. – и загрузить собранные данные на удаленный сервер. В отличие от большинства других известных нам образцов, этот зловред не делает попыток отправлять платные SMS-сообщения на премиум-номера.

Мы придаем этому инциденту такое значение потому, что до сих пор практически все вредоносные программы для Android появлялись за пределами Android Market. Соответственно, для заражения телефонов требовались дополнительные усилия. Однако новая версия Android Market позволяет устанавливать приложения на устройство удаленно – через веб-интерфейс. Об этом мы уже писали в блоге «Темная сторона нового Android Market».

Кроме того, как и предсказывали в прошлом году наши эксперты, киберпреступники взяли на вооружение утилиты для джейлбрейкинга (разблокировки операционной системы мобильного телефона). Об опасностях джейлбрейкинга вы можете узнать из нашего вебкаста The Dangers of Jailbreaking.

По всей вероятности, описанные выше вредоносные программы – далеко не все, что доступны в данный момент на Android Market. Специалисты «Лаборатории Касперского» рекомендуют внимательно следить за тем, какие права доступа запрашивает каждое приложение при установке. Кроме того, эта ситуация в очередной раз показывает, какие опасности таит в себе джейлбрейкинг и повышение привилегий пользователя устройства до уровня администратора (rooting). Начиная с 1 февраля продукты «Лаборатории Касперского» детектируют root-эксплойт, о котором здесь идет речь, как Exploit.AndroidOS.Lotoor.g или Exploit.AndroidOS.Lotoor.j. Так что если вы – пользователь продукта Kaspersky Mobile Security, то ваше устройство от этого зловреда защищено.

Эксперты «Лаборатории Касперского» продолжают изучение данного образца.

ОБНОВЛЕНИЕ: Google удалил из Android Market описанные нами вредоносные приложения и страницу, с которой их можно было загрузить.

Зловреды на Android Market

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике