Android. Operativ system. Multimedia. Sociala media. Verktyg. Codecs. Grafisk konst
Är du här: » »

Hur man skapar ett virusprogram för din telefon. Virus på Android: vad är de och hur blir man inte smittad? Via SMS, MMS och mail

Låt oss börja med det "fräscha" - Triad idag kan anses vara det nyaste och "skottsäkra" viruset för smartphones. Det upptäcktes först i mars 2017.

Det är unikt i sin närhet till klassiska virus, och inte ransomware-trojaner, som vanligtvis är fallet på Android. Du måste fortfarande lyckas plocka upp den från "overifierade källor", men sedan börjar en mycket rolig "actionfilm":

Triada är ett virus som inte bara beter sig illa i systemet, utan kilar in sig i dess vitala områden

  1. Triada slås på efter att du har installerat och gett tillstånd till din favoritmusiknedladdning från VKontakte, till exempel. Efteråt tar programmet i lugn och ro reda på din smartphonemodell, firmware och Android-version, mängd ledigt utrymme på lagringsenheter och en lista över installerade applikationer. OCH skickar detta information på Internet, till dina servrar. Det finns ett stort antal av dessa servrar, de är utspridda i olika länder, det vill säga det kommer inte ens att vara möjligt att komma och organisera en "maskshow" på platsen för servern med skadlig programvara.
  2. Som svar på Triada får instruktioner(egentligen ett individuellt förhållningssätt till patienten!), hur man bäst gömmer sig specifikt i den här versionen av Android och denna smartphone, är inbäddad i varje (!) av de installerade applikationerna och tar kontroll över systemkomponenter för att gömma dig i listan över installerade applikationer och pågående processer. Efter detta "döljer" en separat del av viruset i systemet dess spår - det fungerar inte längre som en separat applikation, utan koordinerar dess åtgärder med hjälp av delar av det infekterade systemet.
  3. Klart, systemet är erövrat! Från och med detta ögonblick förvandlas smarttelefonen till en "docka" som angripare ger kommandon på avstånd och tar emot information på någon av de tillgängliga servrarna. Nu fungerar Triada på ett primitivt sätt - det tar reda på detaljerna på ditt bankkort, tar ut pengar från det, extraherar koderna som behövs för betalning från inkommande SMS-meddelanden och "drar" falska nummer om saldot till ägaren.

Men med förmågan att "tömma" vilken installerad applikation som helst eller installera en ny på avstånd, detta är bara början - det speciella med "triaden" är att det är ett modulärt virus, det kommer att vara möjligt att bifoga en mängd olika typer av fjärrtrick till det.

Som du kan se är virus för Android inte bara primitiva "din telefon är blockerad, du debiteras hundra dollar", som du kan bli av med genom att ta bort applikationen. Och om det i nya versioner av Android är åtminstone svårare att komma åt root och du kan se något misstänkt när du begär rättigheter från applikationen, så är äldre versioner (Android 4.4, 4.3 och äldre) absolut försvarslösa mot en ny infektion - endast en fullständig blinkning kommer att rädda dig.

Marcher

Den så kallade "bankskadlig programvara" utvecklades redan 2013, men dess "finaste timme" kom först sommaren 2016. Känd för bra kamouflage och "internationalism", så att säga.

Marcher är en enkel trojan som inte gör något övernaturligt, utan helt enkelt ersätter servicesidorna på ett stort antal banker med popup-fönster. Mekanismen är som följer:

  • Trojan tränger in i systemet tillsammans med den infekterade applikationen. Toppen av Marchers popularitet kom med de "nystulna" versionerna av Super Mario Run från Nintendo. Om du inte kommer ihåg så är det här en superpromoterad "löpare" från skaparna av Pokemon GO!
  • Söker efter bankapplikationer på din smartphone och online shoppingapplikationer väljer "blanks" i enlighet med vilken bank du använder.
  • Skickar ett "bete" till din smartphone- ett meddelande i meddelandeskärmen med en bank-/butiksikon och ett meddelande i stil med "N rubel har krediterats på ditt konto"/"75 % rabattkupong för alla produkter endast idag!"
  • Ägare smartphone klickar på meddelandet. Därefter öppnas trojanen exakt kopia, en 1-i-1-sida som liknar den du är van vid att se i den officiella ansökan. Och det står något i stil med "anslutningen till nätverket har avbrutits, vänligen ange dina bankkortsuppgifter igen."
  • Ägare smartphone anger bankkortsuppgifter. Det finns mycket pengar här!

"Dude, jag har på något sätt glömt ditt kortnummer. Påminner du mig inte?

På detta enkla sätt förfalskade trojanen processen att köpa flygbiljetter, köpa varor i onlinebutiker och mjukvara på Google Play och driften av bankapplikationer. Användare av bankkort i Tyskland, Frankrike, Polen, Turkiet, USA, Australien, Spanien, Österrike och Storbritannien riktades mot. Till en början "vässades" viruset under Android 6.x, det fanns betydligt färre smartphones med andra versioner.

Loke

Inte ens bara en, utan en hel kaskad av "kameleont" trojaner, inte lika brottsligt allvarliga som Triada, men lika smärtsamma för operativsystemet. Antivirusspecialister uppmärksammade den skadliga programvaran i början av 2016, och den skadliga programvaran började tränga in en masse i människors smartphones redan i december 2016.

Loki är ett sådant organiserat rån genom tidigare konspiration i din smartphone

Skadlig programvara agerar så snabbt och smidigt att du vill ge dem en stående ovation. Titta bara på denna "multi-move":

  • Den första trojanen kommer in i systemet med en säker applikation och börjar med den. Efter detta "begär den omedelbart förstärkningar", det vill säga den laddar ner den andra trojanen från dess källor och installerar den med ett paket verktyg för att få roträttigheter. Den övervakar systemet, väntar på att smartphoneanvändaren ska stänga av skärmen och i det här läget extraherar roten. Sedan lanserar han sin "kollega".
  • Andra trojanen fångar upp roträttigheter, får tillgång till /system-partitionen (“factory” firmware-filer, som sparas även efter återställning av inställningarna), packar upp ett par trojaner till och skjuter in dem i “brandsäkra” systempartitioner.
  • Tredje trojanen kommer till liv i just detta avsnitt /system, där det ersätter den del av systemet som är ansvarig för att ladda och tar bort standard "gibles" för Android. Om ägaren genom något mirakel tar bort alla tidigare virus och kommer till den tredje Loki, kommer smarttelefonens firmware att "dö" när den tas bort.
  • Vid den tiden fjärde av den trojanska kaskaden fungerar från en skyddad systemmapp, varifrån den laddar ner ytterligare ett viruspaket, "vrider" annonser eller helt enkelt ökar antalet nedladdningar av program/webbplatsbesök på en infekterad smartphone. Blockerar nedladdning och installation av antivirus, förbättrar dess skydd.

Det är omöjligt att "rota upp" spåren av denna våldsamma aktivitet från smarttelefonens hjärna, så en infektion kan "botas" med Loki endast genom att helt återställa den med förlust av all data.

Faketoken

Om tidigare trojaner medvetet agerar i smyg så att smartphoneanvändaren inte inser om infektionen förrän i sista stund, då är Faketoken enkel och okomplicerad i sitt tillvägagångssätt, som en erfaren gopnik - den kräver att få rättigheterna till alla handlingar med smarttelefonen, och om ägaren vägrar, kommer algoritmen in i bilden "Lyssna, varför förstår du inte? Då ska jag upprepa det!"

  1. Först tvingas användaren ge administratörsrättigheter till viruset
  • Installera du menar Ansökan med den vanliga etiketten från någon webbplats vasyapupkinsuperwarez.net. Du startar den och efter det börjar de "tortera" dig.
  • Trojanen öppnar ett systemfönster som ber om administratörsrättigheter. I de bästa demokratiska traditionerna har ägaren av en smartphone två alternativ - att tillåta trojanen tillgång till systemet, eller att inte tillåta det. Men i händelse av misslyckande kommer Faketoken att öppnas igen fönster som frågar efter systemrättigheter, och kommer att göra detta hela tiden tills smartphoneanvändaren kapitulerar.
  • Efter detta, med samma termorektala kryptoanalysmetod, får trojanen rättigheter att visa popup-fönster och ersätter standardapplikationen för att skicka SMS.
  • Efter framgång i de trojanska erövringarna kontaktar sin kommando- och kontrollserver på Internet och laddar ner därifrån mallfraser på 77 språk, som han sedan ska använda för att utpressa mobiltelefonanvändaren.
  • Sedan, med hjälp av förberedda fraser, börjar Faketoken krångla med systemet helskärmsmeddelanden i stil med "bekräfta namnet och lösenordet för ditt Gmail-konto" och "vi måste nu länka ett kort i Google Play, ange nödvändiga uppgifter." Till det bittra slutet förstås.
  • Trojanen leker i systemet, skickar och tar emot SMS, ringer, laddar ner applikationer. Och slutligen låser den skärmen, krypterar alla filer i internminne och microSD och kräver "lösen".

Gudlös

Den gudlösa trojanen är imponerande inte ens för dess, så att säga, funktionalitet, utan för dess kamouflage - under lång tid kändes dess närvaro i applikationer inte ens av det omtalade antivirussystemet på Google Play. Resultatet är lite förutsägbart - skadlig programvara infekterade över 850 tusen smartphones runt om i världen, och nästan hälften av dem tillhör invånare i Indien, vilket verkar antyda trojanens ursprung.

Om du laddar ner en ficklampa från Google Play får du ett oraderbart virus med kryptering och roträttigheter

Trojanens funktion skiljer sig något från dess många kollegor under 2016, bara "början" är ny:

  • Smartphone användare nedladdningar applikation från Google Play, slår på den, vilket resulterar i att trojanen startas tillsammans med applikationen. Tänk bara inte på något dåligt om Google-kontrollen, eftersom det inte finns någon skadlig kod i detta "kit" - trojanen laddar ner den skadliga koden när den först lanseras.
  • Till att börja med Gudlös gruvor på en smartphone roträttigheter, gratis utan SMS. Använd ungefär samma uppsättning verktyg som i din Towelroot, till exempel. Trojanen utför sådana operationer när skärmen är avstängd.
  • Efter detta skickar den arroganta trojanen sig själv till mappen /system (varifrån den kan inte längre raderas utan att blinka) och krypterar sig själv med en AES-nyckel.
  • Med fullständiga gudlösa tillstånd startar steg för steg stjäla personuppgifter användare från en smartphone och installera tredjepartsapplikationer. I sina första versioner gömde trojanen förresten standarden Google Play för användarens ögon och ersatte den med en "parodi" genom vilken den stal namnet och lösenordet från kontot.

Bland de applikationer som Godless oftast var "kopplad" till fanns många "ficklampar" och kloner av kända Android-spel. maskar , Trojaner , adware(påträngande reklam) och "skräckhistorier", men nästan ingen bryr sig om sådana subtiliteter. De säger att virus är virus.

Skillnaderna mellan "glädjegraderna" är följande:

  • Virusär ett skadligt program som smyger sig obemärkt in på din dator på grund av systemsårbarheter. Och viktigast av allt, den ägnar sig inte åt sabotage på egen hand, utan infekterar andra filer i systemet. I fallet med Android måste sådan skadlig programvara tränga in efter ett banalt klick på en annons eller besöka en webbplats och sedan "skriva om" Gmail, VKontakte och andra applikationer för sig själv på ett sådant sätt att efter borttagningen av det ursprungliga viruset, de infekterade applikationerna skulle fortsätta att göra sin smutsiga gärning.
  • Mask- gör ett dåligt jobb och hårt, skoningslöst, med alla möjligheter, distribuerar sig själv genom alla kommunikationskanaler. På datorer skickade maskar sig själva via e-post, instant messengers, lokalt nätverk, flash-enheter - det vill säga de klonade sig själva på det mest skamlösa sätt.
  • Trojan knackar aldrig på systemet från utsidan - du installerar och startar det skadliga programmet själv. Detta beror på att trojaner ersätter vanliga, välbekanta och välkända applikationer, och ibland är de helt enkelt "sydda" på helt fungerande program. Det vill säga att du köper och laddar ner ett användbart program och får ett skadligt i present!
  • "Skrämmande historier" (scareware)- applikationer som orsakar panik: "Åh Gud, hela din smartphone är full av virus och applikationer för avlyssning av underrättelsetjänster runt om i världen! Ladda ner vårt antivirusprogram och ta reda på hela sanningen!" Du laddar ner, kör, genomför en så kallad skanning, varefter programmet säger: ”Det finns ett skrämmande antal virus i systemet! Din telefon kommer att dö om du inte tar bort virusen, men för att göra detta måste du ange dina bankkortsuppgifter här och här." Denna skönhet ignoreras ofta av alla antivirus, eftersom den inte hackar eller stjäl något från systemet - den lurar helt enkelt köparen och ber om pengar.

Idag är Android OS positionerat som ett av de mest populära operativsystemen - mer än 70 % av enheterna runt om i världen körs på det.

Anledningen är dess tillgänglighet: tillverkaren använder öppen källkod för att "vässa" den för många prylar och gör det möjligt att självständigt ändra utseendet på skalet, flasha en smartphone, ta emot den och så vidare.

Dessa önskemål om personalisering utnyttjades så småningom av angripare, vilket resulterade i att ett stort antal skadlig programvara injicerades i öppen källkod och överförde enhetens tyglar i fel händer.

Hur får man ett virus?

Android anses vara ett ganska säkert operativsystem. Det är inte för inte som smarta människor kom med Google Play - mest av all programvara är filtrerad för virus, vilket skyddar användaren från obehörig användning. Genom att häva installationsförbudet från okända källor kan du manuellt ge tvivelaktiga applikationer åtkomst till enhetssystemet.

I grund och botten kommer de flesta skadliga program in i systemet genom att ladda ner programvara från tredjeparts filvärdtjänster, till exempel när en smartphoneägare försöker köpa en betald applikation eller ett gratis program som inte finns på Google Play. Du kan också "fånga" ett virus när du anger ett telefonnummer på olika webbplatser: på så sätt hamnar du i angriparnas databas, varefter meddelanden med konstiga länkar börjar komma till telefonen, efter att du klickat på vilken skadlig programvara automatiskt laddas ner till enheten och skada dess ägare.

Vilka virus finns det?

Klassiska trojaner. Gammal som världen, men fungerar fortfarande framgångsrikt. Deras huvudsakliga syfte är att stjäla användarens personliga data: kontakter, personlig korrespondens, inloggningar/lösenord för webbplatser och bankkortsnummer. Du kan tjäna en sådan olycka både genom en tvivelaktig applikation och genom att följa en kort länk från välbekanta SMS-meddelanden som "Du har fått ett foto, titta här."

Nyligen har sådana virus alltmer designats för att hacka applikationer som Mobile Banking, eftersom detta ger angripare möjlighet att överföra offrets alla pengar till deras konto.

Virus som gör det möjligt att få root-rättigheter. I det ögonblick som en smartphone infekteras med detta virus får angripare administrativa rättigheter. Från och med detta ögonblick har de åtkomst till alla fjärråtgärder med enheten: skicka SMS för användarens räkning, ringa samtal, hantera driften av enheten, installera programvara, alla åtkomstkoder, lösenord och så vidare.

Skickar betalda SMS. En gång i tiden var de mycket populära på fildelningssajter som innehöll gratisprogram. Så snart ägaren av enheten laddar ner programmet skickas meddelanden automatiskt från hans nummer till betalda kortnummer. Eller, som ett alternativ, utfärdas prenumerationer automatiskt för något icke-existerande innehåll, för den imaginära användningen av vilken ägaren av enheten betalar från 20 till 60 rubel. dagligen.

Som regel, tills orsaken till den snabba förlusten av medel har fastställts, kommer användaren att ha tid att förlora ett anständigt belopp.

"Avlyssna virus". Denna typ av programvara är utformad för att spela in alla användarens telefonsamtal. Vissa undertyper är konfigurerade för att selektivt extrahera viktig information från dessa konversationer: telefonnummer, bankkonton och kreditkort, inloggningar, lösenord och annan konfidentiell information.

Annonsapplikationsmoduler. Förmodligen har alla lagt märke till, när man arbetar med vissa applikationer, en påträngande reklambanner som plötsligt dyker upp mitt på skärmen. I vissa fall, när du klickar på den, får skaparen ett visst belopp från användarens konto. För det mesta är en sådan åtgärd engångsföreteelse och innebär inte en regelbunden förlust av medel, även om ibland ägaren av en smartphone får ett paket med parallella virus.

Hur får man inte virus?

För att skydda mot en mängd olika skadliga program bör ägare av Android-baserade smartphones undvika att installera programvara från overifierade källor, använda antivirusprogram och helt enkelt vara försiktiga regelbundet.

Låt oss börja med det "fräscha" - Triad idag kan anses vara det nyaste och "skottsäkra" viruset för smartphones. Det upptäcktes först i mars 2017.

Det är unikt i sin närhet till klassiska virus, och inte ransomware-trojaner, som vanligtvis är fallet på Android. Du måste fortfarande lyckas plocka upp den från "overifierade källor", men sedan börjar en mycket rolig "actionfilm":

Triada är ett virus som inte bara beter sig illa i systemet, utan kilar in sig i dess vitala områden

  1. Triada slås på efter att du har installerat och gett tillstånd till din favoritmusiknedladdning från VKontakte, till exempel. Efteråt tar programmet i lugn och ro reda på din smartphonemodell, firmware och Android-version, mängd ledigt utrymme på lagringsenheter och en lista över installerade applikationer. OCH skickar detta information på Internet, till dina servrar. Det finns ett stort antal av dessa servrar, de är utspridda i olika länder, det vill säga det kommer inte ens att vara möjligt att komma och organisera en "maskshow" på platsen för servern med skadlig programvara.
  2. Som svar på Triada får instruktioner(egentligen ett individuellt förhållningssätt till patienten!), hur man bäst gömmer sig specifikt i den här versionen av Android och denna smartphone, är inbäddad i varje (!) av de installerade applikationerna och tar kontroll över systemkomponenter för att gömma dig i listan över installerade applikationer och pågående processer. Efter detta "döljer" en separat del av viruset i systemet dess spår - det fungerar inte längre som en separat applikation, utan koordinerar dess åtgärder med hjälp av delar av det infekterade systemet.
  3. Klart, systemet är erövrat! Från och med detta ögonblick förvandlas smarttelefonen till en "docka" som angripare ger kommandon på avstånd och tar emot information på någon av de tillgängliga servrarna. Nu fungerar Triada på ett primitivt sätt - det tar reda på detaljerna på ditt bankkort, tar ut pengar från det, extraherar koderna som behövs för betalning från inkommande SMS-meddelanden och "drar" falska nummer om saldot till ägaren.

Men med förmågan att "tömma" vilken installerad applikation som helst eller installera en ny på avstånd, detta är bara början - det speciella med "triaden" är att det är ett modulärt virus, det kommer att vara möjligt att bifoga en mängd olika typer av fjärrtrick till det.

Som du kan se är virus för Android inte bara primitiva "din telefon är blockerad, du debiteras hundra dollar", som du kan bli av med genom att ta bort applikationen. Och om det i nya versioner av Android är åtminstone svårare att komma åt root och du kan se något misstänkt när du begär rättigheter från applikationen, så är äldre versioner (Android 4.4, 4.3 och äldre) absolut försvarslösa mot en ny infektion - endast en fullständig blinkning kommer att rädda dig.

Marcher

Den så kallade "bankskadlig programvara" utvecklades redan 2013, men dess "finaste timme" kom först sommaren 2016. Känd för bra kamouflage och "internationalism", så att säga.

Marcher är en enkel trojan som inte gör något övernaturligt, utan helt enkelt ersätter servicesidorna på ett stort antal banker med popup-fönster. Mekanismen är som följer:

  • Trojan tränger in i systemet tillsammans med den infekterade applikationen. Toppen av Marchers popularitet kom med de "nystulna" versionerna av Super Mario Run från Nintendo. Om du inte kommer ihåg så är det här en superpromoterad "löpare" från skaparna av Pokemon GO!
  • Söker efter bankapplikationer på din smartphone och online shoppingapplikationer väljer "blanks" i enlighet med vilken bank du använder.
  • Skickar ett "bete" till din smartphone- ett meddelande i meddelandeskärmen med en bank-/butiksikon och ett meddelande i stil med "N rubel har krediterats på ditt konto"/"75 % rabattkupong för alla produkter endast idag!"
  • Ägare smartphone klickar på meddelandet. Därefter öppnas trojanen exakt kopia, en 1-i-1-sida som liknar den du är van vid att se i den officiella ansökan. Och det står något i stil med "anslutningen till nätverket har avbrutits, vänligen ange dina bankkortsuppgifter igen."
  • Ägare smartphone anger bankkortsuppgifter. Det finns mycket pengar här!

"Dude, jag har på något sätt glömt ditt kortnummer. Påminner du mig inte?

På detta enkla sätt förfalskade trojanen processen att köpa flygbiljetter, köpa varor i onlinebutiker och mjukvara på Google Play och driften av bankapplikationer. Användare av bankkort i Tyskland, Frankrike, Polen, Turkiet, USA, Australien, Spanien, Österrike och Storbritannien riktades mot. Till en början "vässades" viruset under Android 6.x, det fanns betydligt färre smartphones med andra versioner.

Loke

Inte ens bara en, utan en hel kaskad av "kameleont" trojaner, inte lika brottsligt allvarliga som Triada, men lika smärtsamma för operativsystemet. Antivirusspecialister uppmärksammade den skadliga programvaran i början av 2016, och den skadliga programvaran började tränga in en masse i människors smartphones redan i december 2016.

Loki är ett sådant organiserat rån genom tidigare konspiration i din smartphone

Skadlig programvara agerar så snabbt och smidigt att du vill ge dem en stående ovation. Titta bara på denna "multi-move":

  • Den första trojanen kommer in i systemet med en säker applikation och börjar med den. Efter detta "begär den omedelbart förstärkningar", det vill säga den laddar ner den andra trojanen från dess källor och installerar den med ett paket verktyg för att få roträttigheter. Den övervakar systemet, väntar på att smartphoneanvändaren ska stänga av skärmen och i det här läget extraherar roten. Sedan lanserar han sin "kollega".
  • Andra trojanen fångar upp roträttigheter, får tillgång till /system-partitionen (“factory” firmware-filer, som sparas även efter återställning av inställningarna), packar upp ett par trojaner till och skjuter in dem i “brandsäkra” systempartitioner.
  • Tredje trojanen kommer till liv i just detta avsnitt /system, där det ersätter den del av systemet som är ansvarig för att ladda och tar bort standard "gibles" för Android. Om ägaren genom något mirakel tar bort alla tidigare virus och kommer till den tredje Loki, kommer smarttelefonens firmware att "dö" när den tas bort.
  • Vid den tiden fjärde av den trojanska kaskaden fungerar från en skyddad systemmapp, varifrån den laddar ner ytterligare ett viruspaket, "vrider" annonser eller helt enkelt ökar antalet nedladdningar av program/webbplatsbesök på en infekterad smartphone. Blockerar nedladdning och installation av antivirus, förbättrar dess skydd.

Det är omöjligt att "rota upp" spåren av denna våldsamma aktivitet från smarttelefonens hjärna, så en infektion kan "botas" med Loki endast genom att helt återställa den med förlust av all data.

Faketoken

Om tidigare trojaner medvetet agerar i smyg så att smartphoneanvändaren inte inser om infektionen förrän i sista stund, då är Faketoken enkel och okomplicerad i sitt tillvägagångssätt, som en erfaren gopnik - den kräver att få rättigheterna till alla handlingar med smarttelefonen, och om ägaren vägrar, kommer algoritmen in i bilden "Lyssna, varför förstår du inte? Då ska jag upprepa det!"

  1. Först tvingas användaren ge administratörsrättigheter till viruset
  • Installera du menar Ansökan med den vanliga etiketten från någon webbplats vasyapupkinsuperwarez.net. Du startar den och efter det börjar de "tortera" dig.
  • Trojanen öppnar ett systemfönster som ber om administratörsrättigheter. I de bästa demokratiska traditionerna har ägaren av en smartphone två alternativ - att tillåta trojanen tillgång till systemet, eller att inte tillåta det. Men i händelse av misslyckande kommer Faketoken att öppnas igen fönster som frågar efter systemrättigheter, och kommer att göra detta hela tiden tills smartphoneanvändaren kapitulerar.
  • Efter detta, med samma termorektala kryptoanalysmetod, får trojanen rättigheter att visa popup-fönster och ersätter standardapplikationen för att skicka SMS.
  • Efter framgång i de trojanska erövringarna kontaktar sin kommando- och kontrollserver på Internet och laddar ner därifrån mallfraser på 77 språk, som han sedan ska använda för att utpressa mobiltelefonanvändaren.
  • Sedan, med hjälp av förberedda fraser, börjar Faketoken krångla med systemet helskärmsmeddelanden i stil med "bekräfta namnet och lösenordet för ditt Gmail-konto" och "vi måste nu länka ett kort i Google Play, ange nödvändiga uppgifter." Till det bittra slutet förstås.
  • Trojanen leker i systemet, skickar och tar emot SMS, ringer, laddar ner applikationer. Och slutligen låser den skärmen, krypterar alla filer i internminne och microSD och kräver "lösen".

Gudlös

Den gudlösa trojanen är imponerande inte ens för dess, så att säga, funktionalitet, utan för dess kamouflage - under lång tid kändes dess närvaro i applikationer inte ens av det omtalade antivirussystemet på Google Play. Resultatet är lite förutsägbart - skadlig programvara infekterade över 850 tusen smartphones runt om i världen, och nästan hälften av dem tillhör invånare i Indien, vilket verkar antyda trojanens ursprung.

Om du laddar ner en ficklampa från Google Play får du ett oraderbart virus med kryptering och roträttigheter

Trojanens funktion skiljer sig något från dess många kollegor under 2016, bara "början" är ny:

  • Smartphone användare nedladdningar applikation från Google Play, slår på den, vilket resulterar i att trojanen startas tillsammans med applikationen. Tänk bara inte på något dåligt om Google-kontrollen, eftersom det inte finns någon skadlig kod i detta "kit" - trojanen laddar ner den skadliga koden när den först lanseras.
  • Till att börja med Gudlös gruvor på en smartphone roträttigheter, gratis utan SMS. Använd ungefär samma uppsättning verktyg som i din Towelroot, till exempel. Trojanen utför sådana operationer när skärmen är avstängd.
  • Efter detta skickar den arroganta trojanen sig själv till mappen /system (varifrån den kan inte längre raderas utan att blinka) och krypterar sig själv med en AES-nyckel.
  • Med fullständiga gudlösa tillstånd startar steg för steg stjäla personuppgifter användare från en smartphone och installera tredjepartsapplikationer. I sina första versioner gömde trojanen förresten standarden Google Play för användarens ögon och ersatte den med en "parodi" genom vilken den stal namnet och lösenordet från kontot.

Bland de applikationer som Godless oftast var "kopplad" till fanns många "ficklampar" och kloner av kända Android-spel. maskar , Trojaner , adware(påträngande reklam) och "skräckhistorier", men nästan ingen bryr sig om sådana subtiliteter. De säger att virus är virus.

Skillnaderna mellan "glädjegraderna" är följande:

  • Virusär ett skadligt program som smyger sig obemärkt in på din dator på grund av systemsårbarheter. Och viktigast av allt, den ägnar sig inte åt sabotage på egen hand, utan infekterar andra filer i systemet. I fallet med Android måste sådan skadlig programvara tränga in efter ett banalt klick på en annons eller besöka en webbplats och sedan "skriva om" Gmail, VKontakte och andra applikationer för sig själv på ett sådant sätt att efter borttagningen av det ursprungliga viruset, de infekterade applikationerna skulle fortsätta att göra sin smutsiga gärning.
  • Mask- gör ett dåligt jobb och hårt, skoningslöst, med alla möjligheter, distribuerar sig själv genom alla kommunikationskanaler. På datorer skickade maskar sig själva via e-post, instant messengers, lokalt nätverk, flash-enheter - det vill säga de klonade sig själva på det mest skamlösa sätt.
  • Trojan knackar aldrig på systemet från utsidan - du installerar och startar det skadliga programmet själv. Detta beror på att trojaner ersätter vanliga, välbekanta och välkända applikationer, och ibland är de helt enkelt "sydda" på helt fungerande program. Det vill säga att du köper och laddar ner ett användbart program och får ett skadligt i present!
  • "Skrämmande historier" (scareware)- applikationer som orsakar panik: "Åh Gud, hela din smartphone är full av virus och applikationer för avlyssning av underrättelsetjänster runt om i världen! Ladda ner vårt antivirusprogram och ta reda på hela sanningen!" Du laddar ner, kör, genomför en så kallad skanning, varefter programmet säger: ”Det finns ett skrämmande antal virus i systemet! Din telefon kommer att dö om du inte tar bort virusen, men för att göra detta måste du ange dina bankkortsuppgifter här och här." Denna skönhet ignoreras ofta av alla antivirus, eftersom den inte hackar eller stjäl något från systemet - den lurar helt enkelt köparen och ber om pengar.

Hej alla! Jag har länge velat skriva en artikel (för vissa kommer detta att vara nyheter) om "virusfaran" för Android OS-användare. Jag ser ofta kommentarer som: "köp inte Android, det finns många virus på den här axeln" eller "hjälp mig att välja ett bra antivirus", etc. Nu ska vi ta itu med denna fråga en gång för alla.
Först och främst måste vi förstå vad som kallas ordet "Virus" (eller den korrekta formuleringen är ett datavirus). Ett virus är en typ av datorprogram eller skadlig kod, vars utmärkande egenskap är förmågan att reproducera sig (självreplikering). Utöver detta kan virus utföra andra godtyckliga åtgärder utan användarens vetskap, inklusive sådana som skadar användaren och/eller datorn (beskrivningen hämtad från Wikipedia).

Låt oss ta reda på mer. Vad är Android? Android är ett öppet UNIX-liknande operativsystem baserat på Linux-kärnan. Unix-liknande innebär att alla åtgärder av program och filer (kopiering, flyttning, systemhantering, etc.) endast sker med användarens tillåtelse. Och för det andra, om du inte har superanvändarrättigheter (dvs. root), oavsett hur mycket du försöker, oavsett vilken typ av bugg du ställer in, kommer din smartphone aldrig att misslyckas, eller kommer att lägga på på grund av något slags dåligt program " (såvida du inte helt glömmer det förstås). Och fakta: idag finns det cirka 6 typer (som "läskiga" kodrader) som kan skada din enhet. Men otur, för att detta ska hända måste du ha en viss smarttelefonmodell med en viss processor (och det finns bara 8 av dessa modeller och jag ska inte säga vilka - det är inte det jag pratar om. ..), och du måste ändra systemparametrarna själv, eller installera firmware /kärnan med denna "mördarenhet", vilket också är omöjligt, eftersom anpassad firmware kontrolleras alltid. Nu har vi äntligen kommit fram till att det inte bara finns inga virus på Android, de är omöjliga.

Men (för att muntra upp droidhatarna) finns det andra hot mot Android. Dessa är, som de kallas, SMS-sändare och spionprogram (populärt kallade trojaner). Låt oss börja med det senare.

Spionprogram är en syntax (kod) i en vanlig applikation som skickar användardata (kontakter, lösenord, kreditkorts- och kontonummer) till en server. Men även med ditt lösenord och ditt kreditkort eller kontonummer kommer angriparen inte att kunna stjäla dina pengar på något sätt. Det maximala är dina kontakter och Odnoklassniki-lösenord, som han sannolikt inte behöver. Och från praktiken: Jag laddade ner och installerade ett hackat spel med en sådan trojan. Jag såg det under installationen, men för experimentets skull bestämde jag mig för att lämna det, även om jag hade root, kunde jag enkelt hindra det från att skicka mina data. Det finns två kort kopplade till min telefon – ett kreditkort och ett sparkort. Men efter ungefär ett halvt års användning försvann inte en krona från kontona, eftersom... Lyckligtvis har bankprogram ett bra skydd.

Låt oss gå vidare till SMSsender är också en specifik kod i .apk-applikationen som skickar betalda SMS till servern, och låt oss leta efter den såklart , på porrsajter! Vi skriver in en sökmotor : titta på "porr online", vi går, och redan på den andra sidan ombeds vi att uppdatera FlashPlayer, som verkar vara föråldrad. Här förstår jag att vi har hittat vad vi var letar efter och laddar ner vår pseudo-spelare, som av någon anledning också väger 90 kb. Men för att det här programmet ska börja göra sitt "smutsiga arbete" måste det installeras Innan installationen varnar systemet mig betald SMS till andra telefonnummer och jag avbryter installationen, eftersom vi redan har insett att detta är en dåligt förklädd smssender, eftersom flashplayer inte kan väga så lite, och det behöver inte skicka betalda SMS skadlig programvara, jag tar isär den och hittar allt jag behöver i den, och till och med Yandex.Wallet-numret som "donationer" går till för de fattiga." Jag skulle kunna gå längre och åtala honom, för... Du kan enkelt hitta det med Yandex.Wallet, men jag kommer inte att göra det här, och jag har inte tid med det.

Och vissa kanske har en fråga: "Jag ansluter min smarta telefon via USB till olika datorer. Kan jag "föra smitta" från min arbetsdator till min hemdator via en Android-smarttelefon? Svaret är nej, om du inte medvetet laddar ner ett datavirus själv, släpper det på din smarta telefon och sedan på din dator!
Så vi har kommit till slutsatsen att du installerar all skadlig programvara enbart på grund av din slarv och dumhet. Var därför försiktig innan du installerar programvaran, läs vilka behörigheter applikationen kräver så blir allt bra. Och som min gudfar sa: "Om du är rädd för vargar, knulla inte i skogen." Tack alla för er uppmärksamhet, och jag hoppas att min artikel var användbar för någon.

Det första experimentella provet av en fullfjädrad trojan för Android presenterades sommaren 2010 på DEF CON 18-konferensen. Mer än fyra år har gått sedan dess, och under denna tid har antalet virus för Googles mobila OS ökat med tusentals. många gånger, och Google har lyckats komma med dussintals olika metoder för att motverka hot. I den här artikeln kommer vi att i detalj utforska världen av skadlig programvara för Android och spåra konfrontationen mellan sökjätten och hackare.

BC, eller hur man skriver ett virus på 15 minuter

De första försöken att skapa skadlig programvara för Android och bevisa inkonsekvensen av Googles mobilplattform ur säkerhetssynpunkt började med publiceringen av de första preliminära versionerna av Android SDK 2007. Unga studenter skrev mjukvara som använde standard smarttelefonfunktioner för att läsa SMS, och "forsknings"team som Blitz Force Massada demonstrerade så många som "30 attackvektorer på Android", som visade hur vanliga Android API:er kan användas för skadliga syften.

Det var en tid med leksaker som inte kunde kallas riktig skadlig kod, än mindre virus. Här och där dök det upp applikationer, som Mobile Spy från Retina-X Studios, som gjorde att du kunde fjärrläsa textmeddelanden, samtalshistorik, se foton, videor och bestämma koordinaterna för din smartphone. Det fanns också olika falska applikationer, till exempel en inofficiell kund för olika banker som upptäcktes på marknaden i januari 2010, som inte kopplade till någonting, utan bara stal kreditkortsnummer som användaren själv skrivit in.

En mer eller mindre riktig trojan implementerades först 2010 av säkerhetsföretaget Trustwave, som visade det på DEF CON 18-konferensen. De upptäckte dock inte Amerika. Trojanen var bara en standard Linux-kärnmodul som fångade systemanropen write(), read(), open() och close() och skapade också ett omvänt skal när ett anrop kom från ett specifikt nummer. All denna funktionalitet gjorde det möjligt att ansluta till en smartphone på distans och i hemlighet använda dess funktioner för dina egna syften, inklusive att läsa konfidentiell information.

För att installera ett rootkit krävdes fysisk åtkomst till enheten, root-rättigheter och en HTC Legend-smarttelefon (modulen var endast kompatibel med dess kärna), så det var inte tal om någon praktisk användning av rootkit. Proof of concept, som bara bevisade att Linux-kärnan förblir Linux-kärnan i en smartphone.

Den riktiga trojanen hittades i naturen (inte på marknaden) först i augusti 2010. Det var sant att det inte alls var den typ av trojan som vi brukar skriva om i vår tidning, utan bara en SMS-trojan, det vill säga i själva verket en vanlig applikation som skickar SMS till betalnummer utan användarens vetskap. En leksak som en bra programmerare kan skriva på en halvtimme, men väldigt farlig om den hamnar i händerna på en vanlig användare.

Trojanen, som heter Trojan-SMS.AndroidOS.FakePlayer.a, låtsades vara en videospelare under det enkla namnet Movie Player och med ikonen för en vanlig Windows-spelare. Applikationen krävde tillgång till minneskortet, skickade SMS och tog emot data om smarttelefonen, vilket systemet rapporterade innan det installerades. Om allt detta inte förvirrade användaren och han gick med på installationen och startade applikationen, hängde den i bakgrunden och började skicka SMS till nummer 3353 och 3354, som var och en kostade fem dollar. Dessa siffror var förresten endast giltiga på Rysslands territorium, så det är inte svårt att gissa om rötterna till författaren till detta "verk".

I oktober upptäcktes en annan typ av SMS-trojan. Den här gången använde skadlig programvara smarttelefonen inte för att tömma offrets plånbok, utan för att stjäla hans konfidentiella data. Efter installation och lansering gick trojanen i bakgrunden och vidarebefordrade alla inkommande SMS till ett annat nummer. Som ett resultat kunde angriparen inte bara ta besittning av olika konfidentiell användarinformation, utan även kringgå tvåstegsautentiseringssystem, som kräver inte bara inloggning och lösenord, utan också en engångskod som skickas till ett mobiltelefonnummer.

Intressant nog var angriparens telefonnummer inte hårdkodat i den trojanska koden, utan konfigurerades på distans. För att ändra det var det nödvändigt att skicka ett speciellt utformat SMS till offrets nummer, som innehöll ett telefonnummer och lösenord. Lösenordet kunde ändras med ett annat SMS. Standardkombinationen var red4life.

Geinimi och allt, allt, allt

Den första verkligt professionellt skrivna och anti-analys skadliga programvaran för Android upptäcktes först i december 2010 av Lookout. Trojanen, som heter Geinimi, skilde sig kvalitativt från allt som hade skrivits tidigare och hade följande unika egenskaper:

  • Distribution som en del av legitim programvara. Till skillnad från all annan skadlig kod, som bara utgav sig för att vara riktiga program och spel, infiltrerade Geinimi faktiskt spel i det verkliga livet. Vid olika tillfällen hittades trojanen i applikationer som Monkey Jump 2, President Versus Aliens, City Defense och Baseball Superstars 2010, utspridda över lokala marknader i Kina och olika torrent trackers. Funktionaliteten hos den ursprungliga applikationen var helt bevarad, så användaren insåg inte ens att smarttelefonen var infekterad.
  • Dubbelt skydd mot analys. Den trojanska koden skickades genom en obfuscator, vilket gjorde det svårt att analysera, och all kommunikation med fjärrservern var krypterad (för att vara rättvis ska det sägas att den felaktiga DES-algoritmen användes med nyckeln 12345678).
  • Möjlighet att använda för att organisera ett botnät. Mer än 20 kontrollkommandon hittades i Geinimis kod, som möjliggjorde operationer som att installera och avinstallera applikationer (även om detta krävde användartillstånd), få ​​en lista över alla installerade program eller starta applikationer.

I allmänhet agerade Geinimi enligt följande algoritm. Efter att ha startat den infekterade applikationen skapades en bakgrundstjänst som samlade in personuppgifter: enhetskoordinater, IMEI- och IMSI-nummer. Sedan försökte han med en minuts mellanrum kontakta en av tio fjärrservrar (www.widifu.com, www.udaore.com, www.frijd.com och andra), dit all insamlad information överfördes och där kommandon för fjärravrättning samlades in.

Geinimi blev grundaren av fullfjädrade trojaner för Android, och efter dess första upptäckt började malware med liknande eller liknande funktionalitet att dyka upp allt oftare på Internet. Snart hittades en Geinimi-modifiering som heter ADRD, Android.Pjapps-trojanen och många andra. Alla distribuerades via olika webbplatser, torrent-spårare och kinesiska inofficiella butiker, så det var möjligt att skydda dig mot dem helt enkelt genom att inte installera applikationer från okända källor. Men allt förändrades när DroidDream-trojanen upptäcktes, distribuerad som en del av mer än 50 applikationer publicerade på den officiella Android Market.

DroidDream och början på kampen för marknadens renhet

I mars 2011 rapporterade användaren Lompolo på reddit att flera dussin skadliga applikationer upptäcktes på Android-marknaden, publicerade av en person med smeknamnet Myournet. Trots medelmåttigheten hos trojanen själv, såväl som den redan kända distributionsmetoden baserad på injicering av kod i en legitim applikation, det faktum att skadlig programvara fanns på marknaden, såväl som antaganden om att den använder rageagainstthecage-exploateringen för att få root-rättigheter på enheten, väckte snabbt intresset för nyhetsanvändare och anställda hos olika säkerhetsföretag. Inom några dagar utökades den initiala listan med två dussin ansökningar till 56, och bland personerna (eller bots, vem vet) som publicerade den var Kingmall2010 och we20090202.

DroidDream i sig var mycket lik funktionaliteten till den förenklade Geinimi, men var inte en variant av den. Den samlade också in information om smarttelefonen, skickade den till en fjärrserver (http://184.105.245.17:8080/GMServer/GMServlet) och fick kontrollkommandon som svar. Dessutom innehöll den också en annan applikation gömd i katalogen assets/sqlite.db inuti APK:n och installerad på systemet under namnet DownloadProvidersManager.apk. Tydligen var detta skydd mot radering.

Totalt installerades de infekterade applikationerna av 50 till 200 tusen användare, tills Googles säkerhetsteam svarade på meddelandet och tog bort från marknaden alla hittade kopior av skadlig programvara och kontona för de användare som lade upp dem. Dessutom dök också Android Market Security Tool-applikationen upp på marknaden, med vilken användaren kunde rengöra smarttelefonen från infektion. Men även här rådde viss förvirring. Bokstavligen två dagar efter detta upptäckte Symantec en infekterad version av denna applikation på Internet, som innehöll en annan trojan, senare kallad Fake10086 för att selektivt blockera SMS från nummer 10086.

Det faktum att skadlig programvara trängde in på Android Market (och efter att DroidDream upptäckte flera virus på marknaden) tvingade Google att seriöst fundera över säkerheten för sitt applikationsförråd, och eftersom de inte var vana vid att göra något manuellt, som ett resultat, kl. i början av 2012 rullade de ut tjänsten Bouncer, som kontrollerade applikationer för säkerhet genom att köra dem i en virtuell maskin. Bouncers uppgift var att starta programvaran flera gånger, simulera användarens arbete med applikationen och analysera systemets tillstånd före och efter arbetet med applikationen. Om programvaran inte tillät sig att utföra några konstiga eller misstänkta handlingar, släpptes den in på marknaden, annars blockerades publiceringen.

Enligt Google minskade Bouncer omedelbart efter lanseringen antalet skadliga program på marknaden med 40 %. Men senare visade det sig att det enkelt kan kringgås genom att helt enkelt analysera vissa systemegenskaper, såsom e-postadressen till ägaren av "smarttelefonen", OS-versionen och så vidare, och sedan skapa en applikation som, när den upptäcks, kommer att agera helt lagligt och göra det smutsiga arbetet endast på en riktig smartphone. Troligtvis har Google redan utvecklat ett schema för att motverka Bouncer-detektering (till exempel genom att skapa unika virtuella miljöer för varje applikation).

Zeus-i-mobilen

För fem år sedan började en trojan vid namn Zeus sin segerrika marsch genom användarnas datorer. Med en sofistikerad design och avancerade kamouflagetekniker som gjorde det otroligt svårt att upptäcka, kunde det spridas till miljontals maskiner runt om i världen och skapa ett av historiens största botnät; Mer än tre och en halv miljon fall av infektion har registrerats enbart i USA.

Zeus huvuduppgift var att organisera en man-i-webbläsaren-attack, det vill säga använda tangentloggning och tekniker för att fånga formulär för att fånga upp privat användarinformation och skicka den till fjärrservrar. Under sitt arbete kunde Zeus stjäla hundratusentals inloggningar och lösenord från populära tjänster (Facebook, Yahoo!, hi5, metroFLOG, Sonico, Netlog) och, naturligtvis, många onlinebanker.

Utvecklaren Zeus reagerade snabbt på uppkomsten av tvåfaktorsautentiseringssystem och släppte 2010 applikationer för Symbian och BlackBerry, vars uppgift var att fånga upp autentiserings-SMS-meddelanden med engångsbehörighetskoder och sedan skicka dem till samma fjärrservrar. I mitten av 2012 dök en liknande applikation upp för Android.

Dess första version var mycket primitiv och var förmodligen en säkerhetsapplikation som, när den startas, visar en verifieringskod och stängs. Som ett resultat hänger en tjänsteprocess i bakgrunden, som fångar upp SMS och skickar dem till en fjärrserver. Efterföljande versioner av Zeus för Android skaffade också ett fjärrkontrollsystem med hjälp av meddelanden från ett specifikt nummer, men den här gången använde viruset inte några avancerade kamouflage- eller distributionstekniker.

Ändå kunde mobilversionen av Zeus fortfarande göra mycket oväsen i media, men som du kan se var trojanen kraftigt överskattad.

Den första IRC-boten

I mitten av januari 2012 rapporterade Kaspersky Labs anställda att den första Android IRC-boten någonsin hade upptäckts. Applikationen distribuerades i form av en installations-APK-fil som var något större än 5 MB och utgavs vara spelet Madden NFL 12. En intressant skillnad mellan denna trojan och andra var att i själva verket var hela dess driftslogik baserad på inbyggda Linux-applikationer, som inte på något sätt glödde i det vanliga Android Task Manager-fönstret och som också använde en lokal exploatering för att få root-rättigheter.

När programmet startade skapade det en katalog /data/data/com.android.bot/files där det placerade tre filer: header01.png, footer01.png, border01.png och ställde sedan in exekveringsbiten på dem och startade första filen - utnyttja Gingerbreak för att rota din enhet. Om redan rotad firmware var installerad försökte applikationen få root-rättigheter med hjälp av standardmetoder, vilket resulterade i att användaren ombads att ge förhöjda privilegier (fallet när en rootad smartphone är säkrare än en låst).

Om roträttigheter erhölls med någon av de två metoderna, lanserades en andra fil, där SMS-trojanen lagrades - en modifiering av den välkända Foncy SMS-trojanen. Trojanen fastställde att SIM-kortet tillhörde landet och började skicka meddelanden till ett kort betalnummer, vilket blockerade alla svarsmeddelanden. Nästa fil som skulle lanseras var border01.png, som innehöll IRC-botkoden. Han ansluter till en IRC-server med en IP-adress på 199.68. . och registrerad på #andros-kanalen under ett slumpmässigt smeknamn. Alla meddelanden som skickades till boten kördes i konsolen som vanliga Linux-kommandon.

Enligt ett uttalande från Kaspersky Lab-anställda var detta den första applikationen av denna klass för Android. Men enligt deras åsikt var risken låg, eftersom den endast distribuerades via grå marknader, och utnyttjandet fungerade bara i tidiga versioner av Android 2.3.

Den första polymorfa trojanen

I februari 2012 meddelade Symantec att de hade upptäckt den första polymorfa trojanen för Android-plattformen, som vid den tiden inte kunde hittas av något mobilt antivirus förutom dess eget (överraskning). Trojanen, kallad Android.Opfake, distribuerades via olika webbplatser som huvudsakligen finns i Ryssland och OSS-länderna, i form av en gratisversion av en populär applikation eller ett populärt spel.

Den var endast villkorligt polymorf, eftersom trojanen modifierades på serversidan. Med varje ny filuppladdning ändrades innehållet i APK-filen genom olika metoder som att modifiera datafiler, inklusive skräpfiler i applikationspaketet, och ändra filnamn. Allt detta gjorde det svårt att upptäcka av mobila antivirus, som vid den tiden använde primitiva identifieringstekniker, som att kontrollera kontrollsummor och kontrollera förekomsten av specifika filer i paketet.

Efter att ha landat på offrets smartphone och startat, extraherade trojanen en lista över telekomoperatörer och betalade kortnummer från filen res/raw/data.db (som fanns i alla versioner av trojanen) och började skicka SMS. Dessutom öppnade trojanen en webbsida i webbläsaren som innehåller länkar till annan skadlig kod. Intressant nog ändrades meddelandena också med varje ny mutation av trojanen, vilket gjorde det omöjligt att blockera vissa typer av meddelanden på operatörens sida.


Matryoshka virus

En vecka tidigare, nämligen den 1 februari 2012, publicerade Viktor Chebushev en anteckning på webbplatsen dedikerad till upptäckten av en ny typ av virus som distribueras via Google Play-butiken. Viruset maskerade sig som Superclean-applikationen, som enligt utvecklarna kan rensa enhetens minne och därmed öka prestandan hos en smartphone eller surfplatta. Vid den tiden hade applikationen redan från 1000 till 5000 installationer och ett bra betyg på 4,5 stjärnor.

Som det visade sig, rensade Superclean verkligen upp minnet, men det gjorde det genom att helt enkelt starta om alla bakgrundsapplikationer med bara fem rader Java. Vid denna "komplicerade" uppgift slutade den användbara åtgärden av applikationen, och den mest intressanta började ytterligare. När en Kaspersky Lab-anställd analyserade koden upptäckte den att applikationen när den startade kopplades till en fjärrserver och laddade ner tre filer till minneskortet: autorun.inf, folder.ico och svchosts.exe.

De två första förvandlade automatiskt en smartphone ansluten till datorns USB-port till en självstartande flashenhet från vilken filen svchosts.exe lanserades. svchosts.exe i sig visade sig vara en bakdörr, Backdoor.MSIL.Ssucl.a, som lyssnar på datorns mikrofon och skickar all data som tas emot via den till en fjärrserver.


En utmärkande egenskap hos trojanen var också den mest imponerande uppsättningen funktioner av all mobil skadlig programvara för Android vid den tiden. På kommando från operatören kunde han skicka meddelanden utan användarens vetskap, slå på och av Wi-Fi, samla in information om enheten, öppna godtyckliga länkar i webbläsaren, skicka innehållet på ett SD-kort, SMS-korrespondens till en fjärrserver och utföra många andra operationer.

Ett annat svar från Google, eller påtvingad genomsökning av alla applikationer

I slutet av 2012 hade situationen med skadlig programvara för Android redan blivit så spänd att Google beslutade att ta ytterligare ett drastiskt steg. I september förvärvades online-virusskanningstjänsten VirusTotal utan större publicitet, och den 29 oktober släpptes version Android 4.2, vars en av innovationerna var den automatiska genomsökningen av alla program som inte installerats via Google Play efter virus via en fjärrtjänst .

Det är svårt att säga om Google använde det köpta VirusTotal för denna uppgift, eller om de har en egen verifieringstjänst, men du behöver inte vara Google-anställd för att förstå att VirusTotal på något sätt användes för att skydda Android från virus.

Den mest avancerade trojanen

I juni i år upptäckte Kaspersky Labs anställda den mest komplexa och tekniskt avancerade trojan för Android som någonsin har stött på. Trojanen fick namnet Backdoor.AndroidOS.Obad.a. Det var en oberoende applikation, inte integrerad i legitim programvara och, uppenbarligen, distribuerad under sken av välkända applikationer.

Efter att användaren gick med på en lång lista med behörigheter, installerade och lanserade, bad den om enhetsadministratörsrättigheter (vi pratar inte om root, utan om Androids eget säkerhetssystem), som behövdes för endast två saker: självlåsning av skärmen och skydda mot radering. Trojanen gjorde det senare särskilt elegant. Med hjälp av en tidigare okänd bugg i Android tog han bort sig själv från listan över applikationer med administratörsrättigheter, vilket gjorde det omöjligt att beröva honom dessa rättigheter och, som ett resultat, att radera honom.

Därefter kontrollerade trojanen systemet för roträttigheter och, nästa gång den ansluter till ett Wi-Fi-nätverk, skickade information om enheten till en fjärrserver. Informationen var typisk för denna typ av applikation och innehöll ett telefonnummer, IMEI, MAC-adresser och liknande information. Som svar fick han en lista över kommandon som skulle utföras och skrev in dem i databasen med en markering av exekveringstid. Fjärrkommandon kan vara: kontrollera saldot, skicka meddelanden, byta till trafikproxyläge, ladda ner och installera applikationer, skicka filer via Bluetooth, öppna ett skal och annat. Dessutom, varje gång han kopplade en blå tand till en annan enhet, kopierade han sig själv till den enheten.

Ett försök att analysera den trojanska koden avslöjade användningen av flera antianalystekniker. För det första utnyttjade trojanen en tidigare okänd bugg i verktyget dex2jar, på grund av vilket dekompileringen av trojankoden inte skedde korrekt. För det andra använde trojanen en annan okänd bugg i Android, som gör att den kan skapa en Manifest.xml-fil, som innehåller metainformation om applikationen, på ett sådant sätt att den strider mot Googles standarder, men bearbetas korrekt när applikationen startas. På grund av detta fungerade helt enkelt inte många analysverktyg.

Om du lyckades packa upp och dekompilera den trojanska koden och kringgå dessa begränsningar, var du tvungen att hantera ett krypteringssystem på flera nivåer som skyddade all textdata, såväl som metodnamn (de var också strängar och anropades genom reflektion), från analys. Intressant nog var nyckeln för det första krypteringsskiktet en sträng från facebook.coms huvudsida, vilket gjorde det omöjligt att analysera trojanens arbete i ett "sterilt rum" utan en internetanslutning (även om begränsningen, av kan naturligtvis kringgås med en proxy).

INFO

Som en av metoderna för polymorfism i trojanen som hittats av Symantec, inkluderades ett fotografi av samma vittne från Fryazino i olika filer.

Slutsatser

Antalet Android-virus uppgår idag till tusentals, och några av dem är verkligen intressanta för forskaren som exempel på bra programmering och kunskap om Android-arkitektur. Men du ska inte vara rädd för dem. Författaren till den här artikeln har använt Android-smarttelefoner i mer än sex år utan något antivirus och har aldrig drabbats av en infektion på dem. Det viktigaste är att läsa applikationsbehörigheterna och installera dem endast från marknaden.

Rubrik: Windows 10
Dela med sig