Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play игру со встроенным троянцем-загрузчиком. Это вредоносное приложение может без ведома пользователей загружать, устанавливать и запускать другое ПО. Троянца скачали более 1 000 000 владельцев мобильных устройств.
Вредоносное приложение, получившее имя Android.DownLoader.558.origin, встроено в популярную игру BlazBlue, которую загрузили более 1 000 000 пользователей. Этот троянец является частью специализированного программного комплекса (SDK, Software Development Kit) под названием Excelliance, предназначенного для автоматизации и упрощения обновления Android-программ.
В отличие от стандартной процедуры обновления, когда старая версия приложения полностью заменяется новой, указанный SDK позволяет загружать необходимые компоненты по отдельности без переустановки всего программного пакета. Это дает разработчикам возможность поддерживать версию установленного на мобильных устройствах ПО в актуальном состоянии даже если пользователи самостоятельно не следят за выходом его новых версий. Однако платформа Excelliance работает как троянец-загрузчик, поскольку может скачивать и запускать непроверенные компоненты приложений. Такой способ обновления нарушает правила каталога Google Play, т. к. он представляет опасность,
Android.DownLoader.558.origin начинает работу при первом старте программы или игры, в которую он встроен. Троянец вместе с другими элементами приложения извлекается из каталога с его ресурсами и расшифровывается. После этого он самостоятельно загружается при каждом подключении мобильного устройства к Интернету, даже если пользователь больше не запускает зараженное приложение.
Троянский модуль отслеживает сетевую активность и пытается соединиться с управляющим сервером. В зависимости от настроек сервера в ответ Android.DownLoader.558.origin может получить команду на загрузку того или иного программного компонента. Например, в случае с игрой BlazBlue модуль предлагает скачать недостающие файлы, а также обновления, если они доступны.
Помимо дополнительных ресурсов приложения и его обновлений Android.DownLoader.558.origin способен загружать отдельные apk-, dex- и elf-файлы. При этом их запуск в некоторых случаях может выполняться без ведома пользователя. Например, исполнение кода загруженных dex-файлов происходит автоматически и не требует каких-либо действий со стороны владельца устройства.
В то же время при установке скачиваемых apk-файлов пользователь видит стандартное диалоговое окно, однако при наличии root-доступа в системе Android.DownLoader.558.origin может устанавливать их совершенно незаметно. В этом и заключается главная опасность SDK Excelliance. Его авторы в любое время могут отдать команду на загрузку объектов, никак не связанных с основным приложением, – например, рекламных модулей, сторонних программ и даже других троянцев, которые могут быть скачаны в обход каталога Google Play и запущены без разрешения.
Специалисты «Доктор Веб» уведомили компанию Google об опасном поведении троянского компонента в SDK, который используется в игре BlazBlue, однако на момент выхода этого материала в каталоге Google Play для скачивания все еще была доступна ее версия с Android.DownLoader.558.origin.
Большинство участников исследования «Контур.Толк» и «Лаборатории Касперского» признались, что не знают, как действовать в случае получения фейкового сообщения от имени руководителя. При этом с такими сообщениями сталкивались 80% опрошенных.
Чаще всего сотрудники просто игнорируют подобные письма. 35% отправляют их в спам, 14% удаляют, и лишь 1% уведомляет службу безопасности компании.
Как показало исследование, в 11% случаев такие инциденты приводили к серьезным последствиям. У 6% респондентов был утерян доступ к учетной записи, а единичные случаи заканчивались взломом ИТ-инфраструктуры или финансовыми потерями, вызванными пересылкой платежных документов или учетных данных.
Также фиксировались ситуации, когда злоумышленники получали доступ к Госключу, что позволяло им совершать юридически значимые операции от имени организации.
Для предотвращения подобных инцидентов 41% опрошенных считают необходимым проводить обучение сотрудников. 26% видят решение в применении защитных средств, 25% — в переходе на корпоративные мессенджеры. Лишь 12% указали на необходимость разработки политик безопасности и контроля за их соблюдением.
Отдельно отмечается, что почти половина компаний оставляет уволенных сотрудников в рабочих чатах.
«Угрозы информационной безопасности бизнеса во многом связаны с человеческим фактором. Сотрудники могут не только не распознать ловушку мошенников или начало кибератаки, но и не знать, как правильно действовать и к кому обращаться, если возникает подозрение», — отметил руководитель отдела по работе с клиентами среднего и малого бизнеса «Лаборатории Касперского» Алексей Киселев.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
