Вредоносы из Google Play

Тема в разделе "Новости мобильных технологий", создана пользователем лис.хвост, 25 сен 2015.

  1. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    630
    Симпатии:
    983
    [​IMG]
    Текущую неделю определенно нельзя назвать удачной для официальных магазинов приложений. Сначала китайские хакеры наводнили вирусами App Store, а теперь сложнейшее вредоносное приложение обнаружили в Google Play.

    Обнаружили вирус, замаскированную под игру для тренировки мозга BrainTest, специалисты компании Check Point.
    [​IMG]
    Приложение публиковалось в Google Play дважды – первый раз 24 августа текущего года (приложение было удалено), а затем 15 сентября. По статистике магазина, «игру» установили 100 000-500 000 раз. По данным Check Point, пострадать могли до миллиона пользователей, передает xakep.ru.

    Приложение использовало сразу ряд техник, чтобы избежать обнаружения и успешно пройти все проверки Google Play. В частности, BrainTest умело определять, не используется ли там, где оно запущено, IP или домен относящийся к Google Bouncer. В случае положительно ответа, приложение не проявляло никакой вредоносной активности, за счет чего и прошло все проверки магазина. Кроме того, малварь использовала техники timebomb, reflection, загрузку динамического кода и инструмент для обфускации кода, созданный компанией Baidu (что заставило экспертов предположить, что за атакой снова стоят китайские хакеры). Суммарно все это сделало реверс инжиниринг приложения весьма сложным. Эксперты уверяют, что BrainTest, это выход на новый уровень изощренности среди мобильных угроз.

    Для повышения привилегий в системе, приложение использовало четыре эксплоита. Также злоумышленники применяли два системных приложения, неусыпно следивших за тем, чтобы BrainTest не удалили – они попросту восстанавливали удаленные компоненты малвари в системе. В итоге, избавиться от заразы окончательно можно только перепрошив устройство.

    BrainTest состоял из двух частей: приложения, скачиваемого из Google Play (распакованное – com.mile.brain, запакованное – com.zmhitlte.brain ), и бекдора, который устанавливало первое приложение. Бекдор содержит два системных приложения: mcpef.apk и brother.apk, которые присматривают друг за другом, а также скачивают и выполняют любой код, какой им прикажут.
    [​IMG]
    Приложение из Google Play содержало зашифрованный java-архив start.ogg. Он порождал расшифрованные файлы и отсылал запрос командному серверу, передавая злоумышленникам данные о конфигурации устройства. Ответ сервера включал в себя ссылку на файл jhfrte.jar, который осуществлял проверку на root и скачивал эксплоит, чтобы получить root-права. Затем jhfrte.jar скачивал с сервера mcpef.apk, которое устанавливалось как системное приложение.

    mcpef.apk, в свою очередь, скачивало с сервера второе приложение — brother.apk, а также следило за тем, чтобы из системы не удалялись другие компоненты малвари и, в случае необходимости, их переустанавливало. Приложения brother.apk и mcpef.apk обладают одинаковой функциональностью, то есть оба могут восстановить вредоноса в системе.

    «Если Google Bouncer не обнаружен, приложение запускало «часовую бомбу» (time bomb), которая инициировала передачу данных каждые два часа на 20 секунд. «Часовая бомба» приводила в действие распаковщик. Он расшифровывал файлы java-архива start.ogg и динамически загружал их методом «a.a.a.b», — поясняют специалисты Check Point.
     
    Kиpилл, orderman, Theriollaria и 5 другим нравится это.
  2. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Пощупать бы..
     
    Theriollaria нравится это.
  3. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    630
    Симпатии:
    983
    ScriptMakeR, лечится перепрошивкой
     
    Theriollaria нравится это.
  4. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    tisha,
    Вот поэтому и хочу пощупать. Не уверен я, что только перепрошивкой лечится. Я к хард резету негативно отношусь, а перепрошивку вообще не уважаю. Это не методы борьбы с вредоносным ПО, а продукт лени разбираться с этим самым ПО.
    Вон, блокировщика же удалил безболезненно. А я более чем уверен, что все =авторитетные= борцы с вредоносами ничего лучше ХР не предложили бы.
     
    Последнее редактирование: 26 сен 2015
    military, Theriollaria и лис.хвост нравится это.
  5. Theriollaria
    Онлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Считаю, что выбор метода "избавления от вредоноса" зависит от ситуации. Потратить несколько дней на очистку системы, засра**ой десяткой и больше вредоносов, при этом использующейся лишь для игр, кача/просмотра порева и сидения в социалках можно лишь в случае - если именно Вам это интересно. Потому что особого смысла не имеет. Другое дело - системка со спец софтом типа бух ПО, важной информацией и тд. Здесь копаться можно и нужно (если дадут).

    Кстати проскальзывала недавно информация про запись всех разговоров мобильной версией Яндекс Навигатора. Так что найти приключений на то, откуда у плохих мастеров руки растут, можно и пользуясь вполне нейтральным софтом.
     
    лис.хвост нравится это.
  6. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Theriollaria,
    Хард резет и перепрошивка, это не методы борьбы со зловредами. Это частичная и полная переустановка системы.
    Я еще могу понять, когда речь идет о системе засоренной чем попало, там и без зловредов найдется от чего глючить. На починку такой системы необходимо наличие энтузиазма, без него действительно проще переустановить систему. Но тут то мы имеем =авторитетное= мнение в отдельном обзоре конкретного зловреда.
    В разделе лечения никого не отправляют Windows переустанавливать, не зависимо от того засорена ли система, или нет. Там сначала от зловредов лечат, а потом, при необходимости, на лечение остальных болячек в соответствующий раздел отправляют.
    А все потому, что лечение и замена, это абсолютно разные вещи.
     
    military и лис.хвост нравится это.
  7. Theriollaria
    Онлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Ага. Теперь понял что Вы говорили про данный, конкретный случай. Ну так Android довольно закрытая системка с непонятной логикой. Видимо поэтому стараются не напрягать мозг и переустановить систему проще. Кстати это (переустановка системы) пока что основной способ борьбы и с глюками девайсов в принципе.
     
    лис.хвост нравится это.
  8. military
    Оффлайн

    military Новый пользователь

    Сообщения:
    11
    Симпатии:
    19
    Вроде оно: https://www.virustotal.com/ru/file/...74bb2ed536c6e2cc8e70435e/analysis/1443272751/
    Есть свободный телефон HTC Desire C, перепрошить не получилось, получится ли у них ? :) Так понимаю, что если зловред не получит рут доступ, то в крайнем случае от него можно будет избавится сбросом настроек, но в таком случае и антивирус сможет его удалить. Верно?
     
    лис.хвост и Theriollaria нравится это.
  9. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    В каком месте она закрытая? Google регулярно выкладывает исходный код. Со временем появляется все больше команд, которые выпускают свои прошивки. Да и логика вполне понятна тем, кто знаком с Linux.
    Вся проблема в том, что
    --- Объединённое сообщение, 26 сен 2015, Дата первоначального сообщения: 26 сен 2015 ---
    military,
    Может и оно. Но так у меня пощупать не получится:)
    Не совсем верно.
    Лично я считаю, что избавиться от любого зловреда (по крайней мере ныне существующего) можно без перепрошивки и сброса, нужно только способ найти. А антивирусы могут оказаться бессильны и против зловреда, который не получил root.
     
    лис.хвост нравится это.
  10. military
    Оффлайн

    military Новый пользователь

    Сообщения:
    11
    Симпатии:
    19
    Точно. Пример тому шифратор-локер Simplocker, но и тогда вендоры нашли решения в виде загружающегося приложения из Google Play, которое удаляло и расшифровывало файлы. К примеру avast! Ransomware Removal
     
    лис.хвост и Theriollaria нравится это.
  11. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    military,
    Вот тут я описывал, как боролся с одним локером. Он вообще все сторонние приложения блокировал. Ни одно, установленное в папку /data/app/, приложение вообще невозможно было запустить. Соответственно, не работали ни антивирусы, ни отдельные утилиты. Ни у одного производителя АВПО не было никакой возможности справиться с этим заражением без прямого доступа к зараженному устройству.
     
    лис.хвост и Theriollaria нравится это.
  12. military
    Оффлайн

    military Новый пользователь

    Сообщения:
    11
    Симпатии:
    19
    У вас тот локер остался?
     
  13. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    military,
    К сожалению, забыл скинуть его себе перед тем, как отдал планшет, но попросил хозяина не удалять установщик. Правда, не знаю, когда его увижу.
     
    лис.хвост нравится это.
  14. Theriollaria
    Онлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Линуксоидам тоже не все логично там. Мы с Вами уже обсуждали это ранее в другой ветке. Там (Android) все разделы монтируются и закиданы в одну папку.
     
    лис.хвост нравится это.
  15. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Так это чистой воды линукс. В нем так и есть.
     
    лис.хвост нравится это.
  16. Theriollaria
    Онлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    Это, все же надстройка над Linux с отличной логикой. Иначе бы работали стандартные команды Linux, чего не наблюдается.
     
  17. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Theriollaria,
    Я писал про то, что все находится в одной корневой папке, а не про команды.
     
    Theriollaria нравится это.
  18. Theriollaria
    Онлайн

    Theriollaria Активный пользователь

    Сообщения:
    605
    Симпатии:
    869
    А я, когда говорил про разницу -имел в виду как раз нестандартную файловую организацию нетипичную для Linux. Получается, что ОС вроде и "на основе" и проприетарная при этом.
     
  19. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    630
    Симпатии:
    983
    Приложение из Google Play похищало учетные данные пользователей «ВКонтакте»

    «Лаборатория Касперского» выявила масштабную операцию по хищению учетных данных пользователей популярной социальной сети «ВКонтакте». Кража информации осуществлялась через приложение для прослушивания музыки, размещенное в официальном магазине Google Play под названием «Музыка ВКонтакте». Как выяснили эксперты, программа содержала вредоносный код, однако пользователи даже не догадывались об этом, поскольку приложение исправно работало и выполняло свою основную функцию – проигрывало аудиозаписи из социальной сети. По оценкам «Лаборатории Касперского», жертвами этого вредоносного приложения могли стать сотни тысяч пользователей Android-устройств, преимущественно из России.

    Вредоносное приложение «Музыка ВКонтакте» в официальном магазине Google Play
    [​IMG]

    Кража данных происходила после авторизации в приложении, то есть после того, как пользователь самостоятельно вводил действующие логин и пароль, установленные им для доступа к аккаунту в «ВКонтакте». Примечательно, что злоумышленники проверяли подлинность этих данных, отправляя их на легитимный сервер аутентификации oauth.vk.com.

    К настоящему моменту вредоносное приложение чаще всего использовало украденные данные для добавления аккаунтов пользователей в определенные группы в соцсети, продвижением которых занимаются злоумышленники. Однако были зафиксированы случаи, когда у жертвы зловреда пропадал доступ к аккаунту «ВКонтакте», поскольку киберпреступники меняли пароль и использовали учетную запись в своих целях.

    «Для пользователя сам факт кражи данных для авторизации в социальной сети «ВКонтакте» в случае с этим вредоносным приложением может оставаться незамеченным, пока злоумышленники не сменят пароль. При этом мы фиксируем огромное количество заражений данным троянцем, в основном в России. Ситуацию усугубляет легкость, с которой злоумышленники выкладывают каждую новую версию зараженного приложения взамен заблокированной Google, – рассказывает Роман Унучек, антивирусный эксперт «Лаборатории Касперского». – Мы призываем пользователей быть более бдительными, не вводить логин и пароль в сторонних приложениях. Если же у вас было установлено это или подобное приложение для прослушивания музыки из «ВКонтакте», рекомендуем удалить его и срочно сменить логин и пароль от аккаунта в социальной сети».

    «Чтобы избегать утери личных данных, мы всегда советуем пользователям устанавливать только официальные приложения «ВКонтакте» и подключать двухфакторную авторизацию. Она поможет избежать несанкционированного доступа к аккаунту даже в том случае, если логин и пароль стали известны злоумышленникам», – комментирует Георгий Лобушкин, глава пресс-службы «ВКонтакте».

    «Лаборатория Касперского» уведомила компанию Google о наличии вредоносного кода в приложении «Музыка ВКонтакте», и программа была оперативно удалена из магазина. Однако это была уже как минимум седьмая версия приложения, и не исключено, что злоумышленники на ней не остановятся.

     
    Kиpилл, OLENA777, orderman и 4 другим нравится это.
  20. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    630
    Симпатии:
    983
    Больше ста приложений в Google Play содержат новый шпионский троян

    В официальном магазине приложений Google нашли 104 приложения с новым трояном, который шпионит за пользователями и показывает им рекламу. Заражённые приложения были загружены свыше 3,2 миллионов раз. Антивирусная компания Dr.Web, обнаружившая троян, присвоила ему название Android.Spy.277.

    В списке заражённых приложений встречаются игры, мессенджеры, «живые» обои и даже примитивный графический редактор. Почти все они представляют собой сделанные на скорую руку клоны более популярных приложений или игр.

    При запуске одного из заражённых приложений, троян подключается к командному серверу и отправляет туда электронный адрес, привязанный к аккаунту Google, идентификатор IMEI, версию системы и SDK, модель устройства, разрешение дисплея, идентификатор GCM, номер мобильного телефона, географические координаты пользователя, тип процессора, MAC-адрес, параметр user_agent, сгенерированный в соответствии с определённым алгоритмом, название оператора связи, тип подключения к сети, подтип сети, наличие «рута», наличие у заражённого приложения администраторских прав, наличие магазина приложений Google Play и, наконец, название заражённого приложения, передает xakep.ru.

    Покончив с этим, он ожидает дальнейших указаний. По команде Android.Spy.277 может показать рекламу либо на весь экран, либо в виде всплывающего уведомления, либо в панели уведомлений у верхнего края дисплея. Кроме того, троян может добавить на домашний экран ярлык со ссылкой на сайт или на страницу приложения в Google Play.

    Источник: Больше ста приложений в Google Play содержат новый шпионский троян
     
    Dragokas, Kиpилл, akok и 4 другим нравится это.

Поделиться этой страницей