Специалист "Лаборатории Касперского" раскритиковал меры Google по борьбе с DroidDream
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

Оставить заявку →
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Специалист "Лаборатории Касперского" раскритиковал меры Google по борьбе с DroidDream

Начало марта было ознаменовано масштабным проникновением вредоносного программного обеспечения в магазин Android Market. Google пришлось принять ряд экстренных мер - убрать инфицированные приложения из ассортимента магазина, обновить саму "торговую точку" и задействовать возможности удаленного уничтожения уже установленных на мобильные устройства экземпляров опасных программ. Эксперт "Лаборатории Касперского" Тимоти Армстронг, однако, подверг критике действия поискового гиганта.

Необходимо сразу заметить, что специалист никоим образом не возражает против самих вышеупомянутых мер, но у него есть ряд принципиальных замечаний относительно того, как именно они были реализованы. Первая высказанная претензия относится к официальным сообщениям Google, размещаемым в веб-дневнике компании: там говорится, что "обновление автоматически ликвидирует эксплойт". По мнению г-на Армстронга, эта фраза создает впечатление, будто бы после "обновления" уязвимые телефоны окажутся защищены от атакующего кода, использованного во вредоносных программах DroidDream - хотя на самом деле никаких корректировок не происходит, а просто удаляются инфицированные приложения, которыми можно с успехом заразиться еще раз.

Кроме того, эксперт назвал "невероятно любопытной" реализацию данного 'обновления'. Ликвидацией последствий вирусной атаки занимается специальное приложение под названием "Android Market Security Tool March 2011"; оно само по себе удаленно загружается на телефон пользователя, запускается, получает корневые привилегии доступа, удаляет инфицированные продукты и уничтожается. При этом 'обновление' не только ничем не проявляет своего присутствия, но и даже не берет на себя труд озаботиться хоть каким-то согласием самого владельца устройства на выполняемые операции. Г-н Армстронг не стал давать оценочную характеристику такому образу действий, однако, читая приведенные сведения, сложно расстаться со впечатлением, будто специалист "Лаборатории Касперского" описывает не легитимный инструмент от производителя Android, а свежеобнаруженное вредоносное программное обеспечение.

Также эксперт обозначил проблему доставки обновлений к операционным системам Google. Согласно его блог-сообщению, соответствующий механизм Android отличается от схем загрузки патчей, которые приняты другими производителями: эта мобильная ОС "практически полностью полагается на 'эфирные' (over the air, OTA) коммуникации, что возлагает задачу доставки обновлений на поставщиков услуг мобильной связи". Г-н Армстронг уверен, что патчи для Android можно было бы получать и устанавливать более активно и эффективно, если бы Google выпускала не глобальные модификации всей операционной системы, а небольшие "заплатки" для закрытия конкретных уязвимостей, которые пользователь имел бы право загрузить не только через сеть мобильного оператора, но и из Интернета.

Безусловно, хотелось бы надеяться, что Google найдет способы укрепить защиту и магазина приложений, и всего Android-сообщества от уязвимостей и инфекций. Некоторые аналитики называют новую ОС "мобильной Windows", сравнивая взрывной рост ее популярности с успехами известного продукта Microsoft в 90-е годы прошлого века; не исключено, что развитие вредоносных программ для Android обеспечит разработке Google еще одно, не слишком приятное сходство с операционными системами редмондской корпорации.

" />

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Linux-троян Skidmap обрел новый руткит ядра для сокрытия майнинга

В ходе анализа семпла трояна Skidmap, угодившего в Redis-ловушку «Доктор Веб», была обнаружена новая модификация руткита режима ядра, используемого для сокрытия процесса добычи криптовалюты. Схема атаки усложнилась, еще больше затруднив реагирование.

Приманка, работающая под управлением Linux, была создана в связи с участившимися случаями взлома серверов Redis с целью установки майнеров. Такие мишени привлекательны для злоумышленников тем, что обычно плохо защищены, а уязвимости в СУБД Redis объявляются с завидной регулярностью.

Зайдя на сервер через намеренно распахнутую дверь, операторы Skidmap добавили в планировщик cron-задачу на запуск вредоносного скрипта-загрузчика с интервалом в 10 минут. В результате отработки сценария в системе объявляется дроппер (Linux.MulDrop.142/143), который уточняет версию ядра ОС, отключает защиту SELinux и распаковывает полезную нагрузку — бэкдоры, руткит и майнер.

Встроенные исполняемые файлы ориентированы на ходовые дистрибутивы Linux разных версий, поэтому размер дроппера сильно раздут. В осевшем на ловушке образце аналитики насчитали около 60 экзешников.

Так, написанный на C руткит (Linux.Rootkit.400) был заточен под RHEL, Debian и EulerOS. Вредонос осуществляет перехват ряда функций ядра с целью подмены ответов на диагностические команды админа (загрузка CPU, сетевая активность на портах, перечисление файлов в папках и т. п.).

Зловред также отслеживает загрузку модулей ядра и блокирует запуск компонентов с функциями антируткита. Все эти действия призваны скрыть активность майнера (в данном случае XMRig), которого в итоге могут выдать только высокое энергопотребление и перегрев — влияние на быстродействие машины-жертвы криптоджекеры научились регулировать.

Загруженные бэкдоры отслеживают входы по SSH с целью кражи паролей и создают мастер-ключ для всех аккаунтов в системе. Расширить возможности по удаленному управлению помогает троян Linux.BackDoor.RCTL.2, создающий зашифрованный канал для C2-связи.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru