Новый троян для Android маскируется под обновления

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 26 окт 2011.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    По информации от исследователей, работающих в компании F-Secure, новая версия трояна DroidKungFu, созданная для заражения операционной системы Android, маскируется под легальные обновления приложений.

    Тактика распространения вредоносного ПО под видом обновлений является довольно новой и в первый раз была замечена в июле этого года. При этом основным способом заражения мобильных устройств на сегодняшний день остаётся встраивание троянов в легальные приложения, однако получаемые таким образом вредоносные приложения довольно легко распознать, поскольку для своей установки они запрашивают чересчур широкие права доступа.

    По мнению исследователей, новая атака через обновления может проводиться более успешно, благодаря тому, что пользователи, как правило, не подвергают сомнению подлинность обновлений уже установленных приложений. Более того, в случае использования такого метода вместе с троянами, подобными DroidKungFu, атаки через обновления будет сложно обнаружить, по крайней мере, без использования специальных программных инструментов. Причиной тому служит использование подобными троянами уязвимостей Android для получения root-доступа, после чего установке компонентов вредоносной программы ничто не мешает.

    Новый вариант DroidKungFu распространяется с помощью легального приложения, доступного в китайских электронных магазинах приложений. Однако, судя по тому, что более ранние версии этого трояна в прошлом обнаруживались и в официальном магазине Android Market, угроза является глобальной.

    "После установки приложение оповестит пользователя о том, что для него есть обновление; [...] это обновление будет обладать специфическими функциями, аналогичными тем, что обнаруживаются во вредоносном ПО, содержащем DroidKungFu", - предупреждают исследователи из F-Secure.

    Вредоносное обновление запрашивает только доступ к сообщениям SMS/MMS и местоположению, при этом оно содержит root-эксплойт для Android 2.2 (Froyo), который разблокирует системные файлы и функции. Несмотря на то, что данная версия DroidKungFu не нацелена на устройства, находящиеся под управлением Android 2.3 (Gingerbread), существуют другие трояны, инфицирующие эту версию операционной системы. В будущем распространители этих троянов тоже могут начать использовать технику с обновлениями.

    Между тем, есть основания полагать, что авторы вредоносного ПО тестируют и другие техники заражения. На прошлой неделе исследователи из компании Lookout обнаружили другую версию DroidKungFu, которая не использует root-эксплойт вообще. Вместо этого, троян, названный исследователями LeNa, задействует техники социальной инженерии, чтобы пользователи сами наделили установщик правами супер-пользователя. Такое возможно проделать на устройствах, пользователи которых уже самостоятельно запускали root-эксплойт.

    "Это первый случай, когда троян для Android полностью полагается на родной бинарный формат ELF, в отличие от типичных приложений для Android, исполняемых в виртуальной машине [Dalvik]", - поясняют исследователи. Некоторые приложения, распространяющие этот вредоносный код, были обнаружены в официальном магазине Android Market.

    Источник
     
    1 человеку нравится это.

Поделиться этой страницей