Киберпреступники могут упаковывать вредоносные программы в файлы с цифровой подписью, не нарушая ее, это позволяет обойти детектирование антивирусной продукцией, предупреждают эксперты.
В официальном , представленном на конференции Black Hat USA 2016, исследователи Deep Instinct показали, что можно скрыть вредоносный файл внутри другого файла с возможностью выполнения, не нарушая при этом структуру (без шифрования основных разделов файла).
Авторы вредоносных программ постоянно ищут новые способы обхода детектирования антивирусными средствами. Часто они прибегают к таким способам как упаковщики или различные техники шифрования, потому что антивирусы способны обнаружить вредоносный контент только тогда, когда есть возможность его распаковать, если он в сжатом или зашифрованном виде. Исследователи утверждают, что обнаруженный ими недавно метод решает проблему детектирования.
Упаковщики были созданы не только для того, чтобы уменьшить размер, занимаемый файлами на диске, но и затруднить обратный инжиниринг (reverse engineering) исполняемых файлов. Несмотря на их изначальную цель, упаковщики вскоре стали инструментом в руках авторов различных вредоносных программ. По подсчетам экспертов, до 80% вредоносных программ используют упаковщики и методы сжатия.
Большинство создателей вредоносных программ используют известные упаковщики, для которых есть обратные решения (распаковщики, unpackers), используемые разработчиками антивирусных решений в процессе сканирования. Тем не менее, существует ряд вредоносных приложений, которые пользуются упаковщиками, сделанными на заказ и неизвестными производителям антивирусных программ.
Windows использует технологию Authenticode для проверки происхождения и целостности двоичных файлов и сертификаты X.509 v3, чтобы привязать подписанный Authenticode двоичный файл к определенному издателю программного обеспечения.
Чтобы проверить целостность файла и убедиться, что он не был подделан, Windows также вычисляет его хэш и сравнивает его с хэшем, указанным в структуре SignedData. Тем не менее, исследователи обнаружили, что можно внедрить код без изменения сертификата.
«Поскольку Windows исключает три поля из вычислений хэша, мы можем вводить данные в таблицу сертификатов, не повреждая сертификат файла. Добавляя вредоносный контент в конец таблицы сертификатов, можно изменить файл без последствий» - утверждают исследователи.
По словам исследователей, этот метод позволяет вредоносному файлу пройти проверку антивирусными решениями, даже если он не использует шифрование. Таким образом, можно прятать вредоносный контент внутри других файлов.
Подозрительный код был обнаружен специалистами «Доктор Веб» в приложении Love Spouse для управления игрушками для взрослых, скачанном из официального магазина Google Play.
Используя встроенный в Android компонент WebView, троян-кликер может незаметно для пользователя открывать сайты и заполнять на них формы данными, делать скриншоты отображаемого сайта, передавать их на сервер, анализировать и определять места кликов.
Вредонос также способен передавать на свой сервер информацию об устройстве, такую как бренд, модель, версия ОС, IP-адрес, регион, выбранный в настройках, код оператора мобильной сети.
Данный троян идентифицируют как Android.Click.414.origin. Он маскировался под библиотеку com.android.logcatch — компонент для сбора отладочной информации.
Аналитики «Доктор Веб» рассказали, что такой зловред злоумышленники используют для скрытого показа рекламы, накручивания количества переходов по ссылкам, оформления платных подписок и DDoS-атак.
Троян был внедрен лишь в нескольких последних версиях утилиты, начиная с 1.8.1. На данный момент разработчик Love Spouse уже обновил приложение, поэтому в версии 1.8.8 вредоноса нет.
Та же вредоносная программа была найдена в приложении для отслеживания физической активности QRunning. Обновлений с устранением проблемы выпущено пока не было.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
