Введение Не знаю, как вы, а я люблю вредоносное ПО.
Нет, конечно, создание вирусов — явление негативное и наказуемое деяние.
Но сама вредоносная программа, помимо результатов своей работы, чаще всего представляет собой интересные и концептуальные программы, а на вирусной сцене присутствует достаточное количество талантливых разработчиков, способных воплощать оригинальные идеи и реализовывать сложную техническую часть.
Тем интереснее следить за эволюцией такого ПО.
Безопасность мобильной платформы
…а самым доступным объектом слежки является платформа Android — системе всего три года, и она развивается гораздо быстрее, чем ее защитные механизмы.Популярность определяет интерес вирусопроизводителей к продукту.
Кроме того, отличный эффект даст вредоносное ПО, созданное для мобильных устройств.
Даже если сотни сайтов не запускаются на смартфонах и планшетах, они хранят личную информацию отдельного пользователя, а также имеют механизмы, которых нет у десктопов (SMS, GPS и т. д.) и которые еще предстоит использовать.
Год назад мы с другом создали сайт, посвященный мобильной системе Google. Я веду там раздел «Безопасность», делаю заметки о появляющихся вирусах и уязвимостях.
За прошедший год накопился небольшой материал, в котором достаточно четко можно проследить появление новых векторов и концепций атак на мобильную платформу.
Поэтому я собрал все в хронологию.
Каждому элементу я дам комментарий и свою субъективную оценку, а также ссылку на статью на моем сайте, где вы сможете прочитать о теме более подробно, потому что детали просто не умещаются в статье, и их нет. необходимо в его рамках.
Комментарий
В материале собраны исключительно те факты, которые связаны с появлением новых векторов атак на платформу с использованием программного обеспечения.Это, прежде всего, появление вредоносного ПО, построенного на новых принципах, а также концепций исследователей и обнаруженных уязвимостей, демонстрирующих новые подходы, которые можно использовать для создания вредоносного ПО.
В частности, сюда не вошли вирусы типа Android.Spy, так как в них нет ничего интересного — стандартный джентльменский набор «Молодого трояна» и лишние килобайты в базе антивирусных сигнатур.
Так…
Хронология
23 ноября 2010 г.– обнаружил исследователь безопасности Томас Кэнон.
уязвимость во встроенном браузере Android. Это позволяло с помощью веб-страницы со встроенным специальным кодом JavaScript получить доступ к информации на SD-карте устройства.
Нельзя сказать, что эта уязвимость была очень серьёзной, но она использовалась позже при создании троянов для Android. Показательной была и реакция команды Google Android Security Team, которую оперативно предупредил специалист. Уязвимость не закрывалась до выхода нового Gingerbread в декабре, куда дыра благополучно мигрировала! Конец декабря 2010 г.
— Lookout Mobile Security обнаружил трояна на китайских рынках приложений.
Гейними .
Вредоносный код содержался в легальных программах и играх.
Это первый вирус для Android, который можно назвать по-настоящему полноценным и технологичным.
Он собирал личные данные пользователей и другую информацию, отправляя ее на удаленные серверы.
Архитектура вредоносного ПО позволяла развернуть ботнет. Конец января 2011 г.
- Исследователи из Городского университета Гонконга и Университета Индианы в Блумингтоне представляют две концепции вредоносное троянское ПО, демонстрирующее две интересные идеи.
Программа Dubbed Soundminer использует микрофон устройства для перехвата речи, а из полученной записи специальный алгоритм распознавания извлекает произнесенные номера кредитных карт. Он работает совместно с другим прототипом — Deliverer. При этом оба троянца взаимодействуют друг с другом, минуя существующие механизмы безопасности платформы, предназначенные для предотвращения переключения между приложениями.
Благодаря этому трюку вредоносная программа может передавать информацию на сторонние серверы через другие приложения, а сама не требует доступа в Интернет. Середина февраля 2011 г.
— Появление трояна Android.Andrd — первая лошадка, которая, помимо выполнения стандартного набора действий, начала манипулировать результатами поиска браузера на зараженном устройстве.
Это было сделано для SEO-продвижения сайтов в поисковой системе Baidu. Таким образом, было реализовано еще одно практическое применение мобильных вирусов.
Начало марта 2011 г.
– пожалуй, самым громким событием в мире безопасности Android является появление вредоносного ПО на самом Android Market. До этого зараженные приложения обитали на различных варез-порталах, в основном китайских, а здесь.
За несколько дней появились данные о 21 зараженной версии Android-приложения.
Затем это число выросло до 56. Все программы были загружены с трёх аккаунтов и представляли собой копии легитимных приложений со встроенным вредоносным кодом — заурядным трояном под названием ДроидМечта .
Служба безопасности Google вновь допустила ошибку, вовремя не отреагировав на предупреждение — на самом деле троян был обнаружен очень быстро, это сделали разработчики приложения Guitar Solo Lite после анализа странных отчетов об ошибках своего зараженного детища.
Они уведомили специалистов Google, но те упустили момент и начали действовать только после того, как такая информация появилась на крупном портале.
К тому моменту было заражено большое количество пользователей, а общий объем за все время составил около 200 000 зараженных устройств, став крупнейшим в мире Android. Была проведена чистка Android Market (в этом также приняли участие сотрудники Symantec, Samsung и Lookout), а разработчики создали специальную утилиту Android Market Security Tool, которая устанавливается автоматически и очищает устройство пользователя.
Словно в насмешку, он был тут же использован неизвестными умельцами и размещен на альтернативных маркетах приложений, вызвав новую волну заражения.
Начало апреля 2011 г.
– Зараженное приложение распространилось через несколько файлообменников в Азии.
Животное отправляло СМС-сообщения с зараженного устройства на номера из списка контактов (пользователь, естественно, банкировал).
В сообщениях содержался следующий текст: «Привет, я только что скачал из Интернета пиратское приложение Walk and Text для Android. Я глупый и бедный, а это стоит всего один доллар.
Не воруй, как я!» Это такой правдивый вирус.
Это даже побудило пользователя загрузить настоящее законное предложение.
Однако такое «примерное» поведение не помешало ему заняться обычными троянскими действиями, например, кражей личной информации.
Начало мая 2011 г.
– Специалисты «Доктор Веб» обнаружили «первый полноценный бэкдор для Android» – Android.Crusewind .
Трудно сказать, почему эта вредоносная программа получила такое название.
Ведь если взять типичную особенность бэкдоров — предоставление доступа к интерпретатору команд системы, то у Crusewind этого не было; он не содержал соответствующего эксплойта для получения root-доступа.
А если взять более широкое определение бэкдоров, как программных механизмов управления взломанным устройством, то да, Crusewind принадлежит к этому классу, но он уж точно не первый.
У тех же Гейними были вполне работоспособные механизмы, основанные на командах.
Crusewind интересен еще и тем, что распространялся посредством SMS. Простой механизм - пользователь получает ссылку для скачивания программы, если он скачает ее и заразит свое устройство, то в его список контактов отправляются СМС.
Все дело в социальной инженерии.
До сих пор такой механизм распространения не встречался.
С другой стороны, практически одновременно с Crusewind в Китае появилось семейство вирусов Android.Evan, копии которого также распространялись посредством SMS и социальной инженерии.
Трудно сказать, в каком программном обеспечении эта идея была реализована первым.
Конец июня 2011 г.
– выясняет специалист TrendLabs копия вируса , реализующий механизм скрытой ретрансляции SMS-сообщений.
То есть зараженное устройство выступает в роли шлюза.
Верный командам злоумышленников, он отправляет сообщения указанным получателям и передает входящие сообщения от этих получателей на удаленный сервер.
Использовать этот механизм, оказавшийся очень гибким, можно множеством способов — оплачивать биллинг по СМС, просто отправлять и получать сообщения, воровать переписку пользователей.
Однако сам троянец, принадлежащий к тому же семейству Crusewind, на тот момент выглядел еще довольно сыро — к нему не прилагаются никакие механизмы распространения.
И практического применения этого нового механизма пока не видно, но.
10 июля 2011 г.
- Обнаружен троян ГиппоСМС , который использует аналогичный механизм работы с SMS для отправки сообщений с зараженных устройств на платные номера.
Это одна из первых (и не последняя: ближе к концу июля появилось семейство Android.Ggtrack, построенное по похожему принципу) реализации данной тенденции в использовании зараженных мобильных устройств.
Середина июня 2011 г.
– Fortinet сообщает, что обнаружена модификация Зевс для операционной системы Android. Это важное событие, одно из самых значимых – невероятно технологичное и опасное вредоносное ПО переходит с «больших» компьютеров на мобильную платформу.
Целью являются финансовые данные пользователя.
И, очевидно, на Android теперь обратили внимание вирусмейкеры самого высокого уровня.
Однако этот мобильный троянец оказался неуклюжим и с явными проблемами в архитектуре, в отличие от своего «старшего брата».
Начало августа 2011 г.
- появляется новый вектор .
На этот раз целью вредоносного ПО, а точнее его грубого прототипа, являются разговоры пользователя — они записываются и сохраняются в файл, который затем передается на сторонние серверы.
До сих пор на Android-устройствах не было прослушки.
Середина августа 2011 г.
– появился троян ANDROIDOS_NICKISPY.A , маскирующееся под клиентское приложение сети Google+, использующее описанный выше механизм прослушивания разговоров.
Конец августа 2011 г.
— исследователи из Университета Дэвиса в Калифорнии разработали приложение ТачЛоггер для Android, который является прототипом кейлоггера для устройств с сенсорным экраном.
Реализована инновационная идея, основанная на использовании информации с датчиков устройства, а не на традиционных механизмах перехвата.
Это действительно потрясающе, настолько интересной и свежей оказалась концепция.
Начало сентября 2011 г.
— после того, как Зевс выйдет на Android шпионский глаз – еще один продвинутый троян из мира «больших» компьютеров.
Реализовано получение root-доступа на мобильном устройстве и встречавшийся ранее механизм приема и отправки СМС.
Уникальным здесь является гибридное использование версий вредоносного ПО для настольных компьютеров и мобильных устройств.
Устройство заражается через подключение к компьютеру.
Напомню, SpyEye ориентирован на платежные системы, и большинство из них используют механизм привязки аккаунта к телефону.
А транзакции со счетами пользователей требуют подтверждения по SMS. Заразив компьютер, SpyEye мог бы украсть деньги, если бы не SMS-подтверждение.
Так что логично добраться до мобильного устройства, а вместе с ним и необходимых операций с СМС.
Именно на этой идее была разработана мобильная версия зверька, которая действительно стала хорошим методом обхода механизмов безопасности платежных систем.
Конец сентября 2011 г.
– совсем недавно об этом троянце мог слышать каждый.
Возможно, он и не попал бы в хронологию, если бы не был отмечен интересной реализацией механизма передачи команд от командных серверов зараженным устройствам через обычные открытые блоги в Интернете, содержащие зашифрованные записи с командами.
На другой стороне, AnserverBot (так его зовут) — вредоносное ПО, характеризующее как современную архитектуру, так и тенденцию развития вирусов в целом.
Vir технологичен, содержит инструменты для усложнения реверс-инжиниринга, двухуровневую систему командных серверов и хорошую боевую нагрузку.
Он, конечно, принес интересные идеи.
Выводы
Как видно из хронологии, вредоносное ПО для Android постоянно совершенствуется и наблюдать за этим процессом удивительно интересно и полезно — вот идеи, вот концепции, вот тренд и креатив.Трудно сказать, какими будут новые вирусы для Android, но мы обязательно увидим в них все, что появилось за последний год. Между тем, наблюдается тенденция к технологичности и доработке механизмов, к качеству.
Но это не исключает того, что интересные идеи мы еще увидим.
Вместо заключения
Просто хочу поделиться своим мнением - самым значимым событием можно назвать появление Geinimi, вируса, который стал одним из первых и очень технологичных, самым громким событием стало заражение Android Market, самым интересным концептами были TouchLogger от калифорнийских исследователей и т. д. определенно мобильный SpyEye. Спасибо за внимание, любите изящные идеи, надеюсь, эта тема была вам интересна.Теги: #Android #безопасность #вредоносные программы #вирусы #разработка Android
-
Это Проблема Википедии.
19 Oct, 24 -
Монолит Против Микрофронтенда
19 Oct, 24 -
Враги Свободы
19 Oct, 24 -
Как Пройти Собеседование С Программистом?
19 Oct, 24 -
Whois: Практическое Руководство Пользователя
19 Oct, 24
