Вредоносное Android-приложение использует 8 эксплоитов

Тема в разделе "Новости мобильных технологий", создана пользователем лис.хвост, 9 окт 2015.

  1. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    631
    Симпатии:
    983
    Специалисты компании FireEye Labs обнаружили очередное Android-приложение, быстро распространяющееся по миру. Родиной вредоноса предположительно называют Китай. Вредонос получил имя Kemoge «в честь» названия C&C-сервера атакующих: aps.kemoge.net.

    Масштаб заражения Kemoge немал, пострадали более 20 стран, в числе которых: Китай, США, Россия, Саудовская Аравия, Египет, Малайзия, Индонезия, Франция, Великобритания, Польша и Перу.
    Kemoge распространяется преимущественно через сторонние магазины приложений, через рекламу внутри приложений, а ссылки на него активно публикуются на самых разных сайтах. Кроме того эксперты FireEye сообщают, что Kemoge может быть установлен в систему принудительно, через агрессивные рекламные сети, которые умудряются получить root-доступ к устройству.
    [​IMG]
    Будучи установлен, Kemoge собирает все данные об инфицированном устройстве и начинает показывать рекламу. Всевозможные баннеры жертве демонстрируют постоянно, вне зависимости от ее активности, даже когда никакие приложения не запущены.

    Первоначально Kemoge просто раздражает, но вскоре выясняется зло. Он регистрирует MyReceiver в AndroidManifest для автоматического запуска, когда пользователь разблокирует экран устройства или измененяется сетевое подключение. MyReceiver затем вызывает MyService; и маскируются под код Google (с префиксом com.google.rp.confirm), маскируясь также под легитимные системные сервисы com.google.system.provider.confirm,com.google.ad.sprovider, com.android.ad.sprovider, и т.д. в качестве префикса компонента.

    [​IMG]
    С командным сервером вредонос общается осторожно: с aps.kemoge.net он связывается при первом запуске, а затем строго раз в сутки. Хозяева Kemoge могут приказать ему удалить или запустить определенные приложения, или скачать и установить новые. Пока за работой малвари наблюдали специалисты FireEye, хакеры посылали Kemoge команды на удаление антивирусов и различных популярных приложений.

    Эксперты FireEye полагают, что Kemoge был создан в Китае. К такому выводу они пришли после обнаружения неполноценных версий вредоносных приложений в Google Play. Версии, загруженные в официальный магазин, были скачаны 100 000 – 500 000 раз, но они, фактически, не содержали никаких вредоносных функций. В них не было root-эксплоитов, они не демонстрировали C&C поведения. Впрочем, все это можно скачать и после установки, отмечают эксперты.

    Оба приложения были подписаны одинаковыми сертификатами, что указывает на одних и тех же авторов. Имя разработчика, загрузившего малварь в магазин, — Zhang Long. Это, а также сторонние библиотеки, которыми он пользовался, указывают на Китай. Оба приложения удалили из магазина после сообщения от FireEye.

    Мы предлагаем Вам:

    • Никогда не нажимайте на подозрительные ссылки из сообщения электронной почты/SMS/сайтов/рекламы.
    • Не устанавливайте приложения из неофициальных источников.
    • Обновляйте Ваше Android-устройство, чтобы избежать известные ошибки. (Обновление до последней версии ОС будет обеспечивают некоторую безопасность, но это не гарантирует, что вы будете полностью защищены.
     
    Последнее редактирование: 9 окт 2015
    Kиpилл, ScriptMakeR, orderman и 2 другим нравится это.
  2. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    631
    Симпатии:
    983
    Имя пакета Имя приложения MD5
    1 cc.taosha.beautify.easylocker Easy Locker 2701de69ea6b57bbc827830660711ea2
    2 cc.taosha.toolbox.shareit ShareIt 40b1dcbe5eca2d4cf3621059656aabb5
    3 com.cg.sexposition Sex Cademy abaf6cb1972d55702b559725983e134a
    4 com.cg.wifienhancer WiFi Enhancer 0c67d0919e574a6876c73118260368ee
    5 com.change.unlock.zhiwenjiesuo Fingerprint unlock 1be29a6622543f6f5063eda1d83a4e49
    6 com.funme.assistivetouch Assistive Touch 7cd86d83d916dbd9b04d0e7e4f9ff6e8
    7 com.funme.sexfree Calculator bf6dc2f78baed212f6aa4268da086e09
    8 com.jrhw.pinkygirls PinkyGirls 6fc29ab75d87a5b1e0dd792c5c68d738
    9 com.kayaya.tao.tomcat Talking Tom 3 b36a751d72e2bdea80e7ff72b6fb3a41
    10 com.kiss.browser Kiss Browser cec85188308644273332d00d633ab875
    11 com.leo.appmaster Privacy Lock f1a16304e427b7f8657de8c3dfb1d33f
    12 com.light.browser Light Browser 162cb09e2eebd595eae2617cd3af1d0d
    13 com.magic.gmobiepay.clear Magic Treasure aa31e77775f5ce3e85ebf3bdb09f590e
    14 com.space.funhgames.september 2048kg efb917cb0cf09fc38b98500af61d30dc
    15 com.star.android.smartTouch Smart Touch db563053762250a5cb4d0c10e0e3dbb0
     
    Последнее редактирование: 9 окт 2015
    Kиpилл, ScriptMakeR, orderman и ещё 1-му нравится это.

Поделиться этой страницей