Опасный троянец скрывается в официальной Android-прошивке

Обычно для заражения Android-смартфонов и планшетов злоумышленники прибегают к весьма тривиальному способу: используя различные приемы социальной инженерии, они просто-напросто обманом заставляют своих жертв самостоятельно выполнить установку того или иного вредоносного приложения.

Однако данная методика – не единственная в арсенале вирусописателей. Так, специалисты компании «Доктор Веб» продолжают отмечать случаи, когда Android-троянцы уже предустановлены на мобильные устройства в качестве системных приложений и незаметно для их владельцев осуществляют вредоносную деятельность. Очередной такой инцидент, «героем» которого стал бэкдор Android.Backdoor.114.origin, был зафиксирован нашими вирусными аналитиками совсем недавно, пишет drweb.ru.

Само вредоносное приложение Android.Backdoor.114.origin уже известно специалистам «Доктор Веб»: первые случаи его применения киберпреступниками были зафиксированы больше года назад, и с тех пор данный троянец уже не раз становился настоящей головной болью для пользователей. Дело в том, что этот бэкдор внедряется неустановленными злоумышленниками непосредственно в прошивку мобильных устройств и, соответственно, функционирует в качестве системного приложения. Как результат – удаление троянца стандартными способами становится практически неосуществимым: пользователю требуются либо root-привилегии, получить которые не всегда возможно, а зачастую даже опасно, либо установка заведомо «чистого» образа операционной системы с последующей потерей всех имеющихся данных, для которых не была создана резервная копия.

Об очередном случае заражения мобильных устройств пользователей троянцем Android.Backdoor.114.origin вирусным аналитикам «Доктор Веб» стало известно в середине сентября. В частности, новыми жертвами бэкдора стали владельцы Android-планшета Oysters T104 HVi 3G, на котором вредоносная программа скрывается в предустановленном приложении c именем GoogleQuickSearchBox.apk. Производитель данной модели был уведомлен о наличии проблемы, однако на момент публикации этого материала доступная для загрузки официальная версия прошивки аппарата не претерпела никаких изменений и по-прежнему содержит в себе бэкдор.

Android.Backdoor.114.origin собирает и отправляет на управляющий сервер широкий спектр информации о зараженном устройстве. В зависимости от своей модификации, он может передавать злоумышленникам следующие сведения:

  • уникальный идентификатор устройства;
  • MAC-адрес Bluetooth-передатчика;
  • тип зараженного устройства (смартфон или планшет);
  • параметры из конфигурационного файла троянца;
  • MAC-адрес устройства;
  • IMSI-идентификатор;
  • версию вредоносного приложения;
  • версию операционной системы;
  • версию API операционной системы;
  • тип сетевого подключения;
  • название программного пакета троянца;
  • идентификатор страны;
  • разрешение экрана;
  • название производителя устройства;
  • название устройства;
  • объем занятого места на SD-карте;
  • доступный объем памяти на SD-карте;
  • объем занятого места во внутренней памяти устройства;
  • доступный объем внутренней памяти устройства;
  • список установленных приложений в системном каталоге;
  • список приложений, установленных пользователем.

Однако основное предназначение Android.Backdoor.114.origin – незаметная загрузка, установка и удаление приложений по команде управляющего сервера. Примечательно, что троянец способен самостоятельно активировать отключенную опцию установки ПО из непроверенных источников, если данная функция изначально была неактивна. В результате, даже если владелец зараженного устройства соблюдает рекомендованные меры безопасности, это ему не поможет, т. к. бэкдор все равно изменит соответствующие настройки и сможет незаметно инсталлировать всевозможные рекламные, нежелательные и откровенно опасные вредоносные программы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Guardicore защитит ЦОДы, облака и контейнеры компаний в России и СНГ

Guardicore, инновационный лидер в сфере защиты ЦОДов, контейнеров и облачных сред, сегодня анонсировал начало продаж в России, СНГ и Грузии. Продвижением решений вендора в регионе займется дистрибьютор Тайгер Оптикс.

Компания Guardicore была основана в 2013 году в Израиле и привлекла более $103 млн. долларов от ведущих инвестиционных фондов в сфере информационной безопасности. Guardicore является создателем интуитивного и простого способа защиты критических активов в ЦОДах, контейнерах и гибридных облаках, основанного на принципах микросегментации и Zero Trust («нулевого доверия»). Платформа Guardicore Centra, флагманский продукт компании, включает в себя широкие возможности по мониторингу и сегментации вычислительных ресурсов, а также детектированию и реагированию на атаки в режиме реального времени.

Растущая поверхности атаки, динамическая природа современных гибридных ЦОДов и неприменимость традиционных средств защиты существенно усложняют задачу по обеспечению безопасности таких сред. Крупные и средние организации используют платформу Guardicore для защиты от угроз, регуляторного соответствия и организации безопасного доступа сотрудников и подрядчиков как к традиционным, так и виртуализированным ЦОДам, контейнерам и ресурсам в публичных облаках.

«Компании в России и странах СНГ отчетливо понимают специфику обеспечения безопасности ЦОДов и облачных ресурсов, а также преимущества микросегментации и подхода Zero Trust. Совместно с партнерами мы рады предложить заказчикам Guardicore – лидирующее решение в это сфере», – сказал Никита Сильченко, генеральный директор Тайгер Оптикс.

Продукты Guardicore поставляются через авторизованных системных интеграторов и доступны для заказа в России и СНГ через дистрибьютора Тайгер Оптикс.

Онлайн-презентация и демонстрация Guardicore состоятся 10 декабря в 11:00, время московское.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru