Symantec: Зловреды для Android продолжают совершенствоваться

Symantec: Зловреды для Android продолжают совершенствоваться

Специалисты Symantec сообщают о том, что вредоносные программы для Android продолжают набирать обороты и совершенствовать свои возможности для сокрытия в системе.

Мобильные операционные системы развиваются из года в год, становясь все более сложными, то же самое можно сказать и про разрабатывающиеся под эти ОС вредоносные программы. Совсем недавно наблюдалось большое количество семейств вредоносных программ, ориентированных на операционную систему Android. Они использовали новые методы, позволяющие им избежать обнаружения и поддерживать свое присутствие на зараженном устройстве даже после обнаружения.

Одним из этих методов является упаковка зловредов, в последние месяцы вредоносы для Android стали часто использовать его. Исследователи Symantec объясняют, что количество упакованных вредоносных программ для Android увеличилось с 10% до 25% за девять месяцев в период с декабря 2015 года по август 2016 года.

Еще один метод представляет собой использование вредоносных приложений MultiDex, эти зловреды используют два файла Dalvik Executable (DEX) для загрузки основной вредоносной составляющей. Android-приложения обычно содержат исполняемый код в DEX-файлах, но рядовые программы содержат лишь один DEX-файл. Антивирусы соответственно тоже фокусируется на одном DEX-файле, что позволяет авторам вредоносных программ избежать детектирования, распределяя вредоносную активность между двумя DEX-файлами. 

Согласно Symantec, авторы вредоносных программ также работают над созданием вредоноса, использующего функцию Instant Run, которая была выпущена с Android Studio 2.0. Эта функция помогает разработчикам программного обеспечения выпускать обновления в виде .zip-файлов.

Для того, чтобы использовать этот метод, авторы вредоносных программ упаковывают вредоносную составляющую своих программ в .zip-файлы. Хорошая новость заключается в том, что этот метод может быть использован только на Android Lollipop и относится только к отладочным версиям приложений. Приложения, распространяемые через Google Play защищены от этого.

Исследователи Symantec также описывают другую методику, используемую авторами вредоносных программ – метод использует привилегии суперпользователя и, в частности, команду Linux chattr, которая блокирует файлы от изменений. Этот метод позволяет уберечь файл зловреда от удаления даже с привилегиями суперпользователя. 

Для того чтобы оставаться защищенным от таких видов угроз, пользователям рекомендуется обновлять свои приложения и операционную систему и устанавливать программы только из надежных источников, таких как Google Play. Кроме того, не помешает делать резервные копии важных данных, чтобы не потерять их в случае заражения вредоносной программой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Лжесотрудники банков раздают вредоносные апдейты в аэропортах

Мошенники, использующие зловредов для кражи учеток ДБО, начали от имени подсанкционных банков предлагать их для скачивания в крупных аэропортах и вокзалах ж/д. Вредоноса при этом выдают за обновление мобильного приложения.

В качестве предлога пассажиру предлагают поучаствовать в акции и стать обладателем бесплатной кредитки с выгодным лимитом. Если тот согласен, выясняется, что в его версии мобильного банка этой акции нет, и приложение нужно обновить.

В магазинах Google и Apple софт недоступен: его удалили из-за западных санкций, однако лжесотрудник банка может решить проблему, прислав сообщение со ссылкой для загрузки. Как вариант, потенциальной жертве предлагается подключиться к ноутбуку обманщика «через проводочек» и скачать с него прогу.

Вредоносный апдейт, по свидетельству SafeTech, неотличим от легитимного банковского клиента. После входа логин и пароль попадают в руки мошенников; чтобы ими воспользоваться на другом устройстве, потребуется одноразовый код, высылаемый банком (СМС) для подтверждения смены привязки. Добыть его помогает все тот же зловред, установленный на телефоне жертвы.

Получив нужные ключи, злоумышленники не мешкают. Пока жертва на борту самолета (или в поезде дальнего следования) и не может получить алерт банка из-за плохой связи, с ее счета выводятся деньги.

Подобный сценарий вполне может выстрелить. Из-за санкций приложения многих российских банков удалены из App Store и Google Play, и кредитно-финансовым организациям приходится искать альтернативы для обновления клиентского софта. Апдейты могут публиковать под другими названиями и от имени других разработчиков. Их также предлагают в отделениях банков, где помощь окажут сотрудники.

Выбор аэропортов и вокзалов тоже в данном случае оправдан: банки давно уже используют залы ожидания для оформления карт и проведения других маркетинговых кампаний. Такие места всегда под охраной, и обман кажется маловероятным.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru