pvl-online.kz » Новости » Троянцы в Android добиваются root-привилегий
Автор публикации: admin Просмотров: 297 Добавлен: 19-11-2015, 16:06 Комментарии: 0


Троянцы в Android добиваются root-привилегий
Основным принципом обеспечения безопасности в ОС Android являются особенности установки прикладного ПО на мобильные устройства. В частности, инсталляция происходит только после того, как пользователь ознакомится с информацией о той или иной программе и даст окончательное согласие на ее установку. Для обхода данного ограничения некоторые вирусописатели стали снабжать своих троянцев различными root-эксплойтами, дающими неограниченные полномочия на атакуемых смартфонах и планшетах. В результате уже в 2011 году появились вредоносные Android-приложения, которые при помощи различных программных уязвимостей пытались получить системные привилегии, после чего могли устанавливать и удалять ПО без участия пользователя. К таким троянцам относятся Android.DreamExploid и Android.Gongfu. Атаки с применением подобных вредоносных приложений на протяжении длительного времени были достаточно редкими, но в 2015 году вирусные аналитики компании "Доктор Веб" отметили новый всплеск интереса к root-троянцам. При этом если раньше злоумышленники стремились с их помощью лишь незаметно установить как можно больше приложений, чтобы получить от партнерских программ прибыль за каждую успешную инсталляцию, то теперь все чаще они пытаются внедрить вредоносное или нежелательное ПО непосредственно в системный каталог Android. Так, киберпреступники хотят заразить мобильные устройства руткитами, которые остаются скрытыми в системе и продолжают свою работу, даже если установившую их вредоносную программу позднее найдут и удалят. Попадая в системную область системы, подобные троянцы получают расширенные функциональные полномочия и предоставляют злоумышленникам полный контроль над зараженными устройствами, а также неограниченный доступ к хранящейся на них информации. При этом обнаружение таких приложений значительно усложняется и может потребовать гораздо больше времени по сравнению с идентификацией "обычного" вредоносного ПО для Android. Но даже после успешного обнаружения Android-руткитов в системном каталоге попытка их удаления сопряжена с определенным риском. В некоторых случаях подобные вредоносные приложения значительно модифицируют программное окружение ОС, в результате чего их деинсталляция способна привести к неработоспособности зараженного смартфона или планшета. Однако даже в таких случаях зараженное мобильное устройство относительно легко вернуть к жизни: для этого достаточно переустановить заводскую прошивку. Тем не менее, некоторые антивирусные компании заявляют, что удаление троянцев, попавших в системную область Android в результате получения root-полномочий, практически невозможно, и пользователям стоит задуматься о замене мобильного устройства. Однако успешная борьба с Android-руткитами вполне осуществима. Так, специалисты "Доктор Веб" тщательно анализируют каждое подобное вредоносное приложение. После того как они убедятся, что удаление того или иного троянца не приведет к поломке Android-устройства, соответствующий алгоритм лечения вносится в вирусную базу Dr.Web Security Space для Android. Несмотря на то, что это весьма трудоемкий и длительный процесс, с каждым днем число успешно удаляемых из системной области ОС Android троянцев увеличивается. Среди обнаруженных в 2015 году вредоносных приложений, пытающихся получить root-полномочия на Android-устройствах и незаметно установить вредоносное ПО в системную директорию, прежде всего стоит отметить троянцев семейства Android.Toorch, о которых стало известно в апреле. Один из них был замаскирован под программу-фонарик и распространялся вирусописателями через популярные в Китае сайты - сборники ПО, а также при помощи агрессивных рекламных модулей, интегрированных в различные приложения. После запуска на целевых мобильных устройствах он пытался повысить свои системные привилегии до уровня root, незаметно устанавливал в системный каталог /system/app один их своих компонентов, а также запускал на исполнение еще один вредоносный модуль. После этого по команде злоумышленников вредоносное приложение могло загружать, устанавливать и удалять указанные ими программы без ведома пользователя. Другая вредоносная программа, пытавшаяся получить root-доступ на заражаемых устройствах, была внесена в вирусную базу Dr.Web как Android.Backdoor.176.origin. Этот троянец распространялся вирусописателями в модифицированных ими изначально безобидных играх и приложениях. При первом запуске Android.Backdoor.176.origin передает на управляющий сервер подробную информацию о зараженном устройстве, после чего регистрирует несколько перехватчиков системных событий, контролируя, в частности, загрузку ОС, взаимодействие пользователя с экраном, запуск приложений. При следующем включении инфицированного смартфона или планшета вредоносная программа загружает из интернета модифицированную версию утилиты Root Master и с ее помощью пытается получить root-доступ в системе. Основное предназначение данной вредоносной программы - незаметная установка и удаление приложений по команде с управляющего сервера. Помимо этого троянец передает злоумышленникам подробные сведения о зараженном смартфоне или планшете, отслеживает количество входящих и исходящих вызовов, а также отправленных и принятых SMS-сообщений. Не меньшую опасность для владельцев Android-смартфонов и планшетов представляет и троянец Android.DownLoader.244.origin. Как и многие вредоносные Android-приложения, он распространялся через популярные сайты - сборники ПО в модифицированных киберпреступниками изначально безопасных программах и играх. После запуска содержащей троянца программы Android.DownLoader.244.origin запрашивает у пользователя доступ к специальным возможностям ОС (Accessibility Service). Если потенциальная жертва согласится предоставить ей необходимые права, вредоносная программа сможет контролировать все события, происходящие на устройстве, а также получит возможность незаметно устанавливать приложения, имитируя действия пользователя и самостоятельно нажимая на кнопки в соответствующих диалоговых окнах, которые будут возникать при попытке инсталляции заданного злоумышленниками ПО.


Рейтинг:

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

    
Другие статьи по теме:
Компания "Доктор Веб" предупреждает о появлении опасной вредоносной программы Android.Toorch.1.origin, поражающей мобильные устройства под управлением операционной системы Android...


Компания "Доктор Веб" отметила новый случай, когда Android-троянцы уже предустановлены на мобильные устройства в качестве системных приложений и незаметно для их владельцев осуществляют вредоносную деятельность. Очередной такой инцидент, центром которого стал бэкдор Android.Backdoor.114.origin, был зафиксирован вирусными аналитиками совсем недавно. Первые случаи применения Android.Backdoor.114.origin киберпреступниками были зафиксированы больше года назад, и с тех пор данный троянец уже не раз


Специалисты компании "Доктор Веб" исследовали Android-троянцев, выполняющих несанкционированную установку приложений. В общей сложности было обнаружено около 10 подобных программ-загрузчиков...


В апреле компания "Доктор Веб" обнаружила троянца Android.Toorch.1.origin, предназначенного для незаметной загрузки, установки и удаления приложений, а также способного отображать на экране зараженных мобильных устройств навязчивую рекламу. Вредоносная программа распространяется злоумышленниками под видом безобидного приложения-фонарика, в действительности выполняющего указанную функцию, и передает киберпреступникам различную конфиденциальную информацию, включая GPS-координаты зараженного


Специалисты компании "Доктор Веб" выявили целый комплект вредоносных приложений для ОС Android, обладающих широчайшим спектром функциональных возможностей. Этот набор состоит из трех действующих совместно троянцев, получивших наименования Android.Loki.1.origin, Android.Loki.2.origin и Android.Loki.3 соответственно. Первый из них загружается с помощью библиотеки liblokih.so, детектируемой под именем Android.Loki.6. Эта библиотека внедряется в один из системных процессов троянцем Android...





Fatal error: Call to undefined function htracer_ob_end() in /var/www/pvl/data/www/pvl-online.kz/index.php on line 289