Geinimi: навороченный троян для Android

    На китайских сайтах обнаружен интересный новый троян, который в английском варианте назвали Geinimi.

    По признанию специалистов Lookout Mobile Security, «это самое изощрённое вредоносное ПО для Android среди всего, что попадалось до настоящего времени», потому что в предыдущих троянах не использовались такие способы маскировки. В частности, в Geinimi имеется готовый обфускатор байткода, а части программы зашифрованы, что существенно затрудняет исследователям возможности для анализа программы.

    В данный момент троян распространяется с китайских каталогов софта в пакетах с играми Monkey Jump 2, Sex Positions, President vs. Aliens, City Defense, Baseball Superstars 2010. Предполагается, что скоро Geinimi будет включён в комплекты с Android-приложениями на сайтах и за пределами Китая. Но пока на Google Android Market ещё ни одно приложение не заражено, в том числе оригинальные версии вышеперечисленных игр на Google Android Market не содержат трояна. Если он там появится — об этом будет сообщено дополнительно.

    После скачивания заражённой программы пользователю нужно подтвердить инсталляцию приложения из «неизвестного источника» (“Unknown sources”).

    Программа работает в бэкграунде и собирает персональные данные: координаты устройства, номера IMEI и IMSI. Затем с интервалом в одну минуту осуществляются попытки связи с одним из десяти удалённых серверов (www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com, www.piajesj.com и др.), куда передаётся вся собранная информация. Среди других возможностей трояна: установка программ на телефон, удаление программ с телефона (и то, и другое — с разрешения пользователя), способность составлять список всех установленных программ и отправлять его на удалённый сервер.

    Это также первая программа для Android, способная участвовать в формировании ботнета: троян имеет функцию приёма удалённых команд. Правда, исследователям ещё не удалось проверить, как она работает.
    Support the author
    Share post

    Comments 67

      0
      А сама она распространяться не умеет?
        +12
        Сказано же… Надо купить игру на китайских андройд.мракетах, троян в подарок, новый год же…
          +28
          Sex Positions + venera bonus (:
            0
            В наше время стоит доверять, только доверенным разработчикам.
            Хотя стоит обратить внимание, что и у них бывают фейлы с реализацией безопасности.

          +5
          В тот день, когда они научатся распространяться сами — настанет новая эра…
            +2
            Да уж, к сожалению фраза «вирусы — это из мира Windows» станет после этого неактуальна…
              +3
              К сожалению, она уже стала неактуальна :)
                –2
                К счастью. Не только ж нам, честным Windows-юзерам страдать. Вот и вам теперь есть над чем подумать.
                  +2
                  Не думал, что это будет счастьем. Уж извините
                    0
                    Почему же? Это привлечёт внимание к проблеме, я думаю, *nix-системы разрабатывали одни из лучших спецов, и они помогут найти глобальное решение этой проблемы. Так что создание прецедента заражения подобных систем — скорее благо, для индустрии в целом.
                      0
                      Не нужно думать, что юникс-системы разрабатывают более хорошие спецы, чем виндузятники. И те, и те — профессионалы, и переезд вирусни на юниксы не светит ничем хорошим, в том числе и помощью юниксоидов в решении проблемы. Избавиться от вирусов невозможно. Кто бы чего не говорил.
                        0
                        Я не говорю, что кто-то лучше кого-то :) Просто привлечение большего числа спецов приведет к улучшению ситуации. Надеюсь.
                  0
                  Смотрим шире.
                  Вирусы — это из мира коммерческих ОС.
                  Идеологмя безопасности свободной ОС — «Я полностью контролирую свою систему. Я сделаю все так, как мне лучше»
                  Идеология коммерческой ОС — «Мы контролируем твою систему. Ты — нет. Мы знаем как тебе лучше и сделаем это.»
                  В андроиде «из коробки» вырезаны все линуксовые средства для контроля и управления. Гугл все контролирует за Вас. А за одно и всякие прихлебатели в черных шляпах.
                  +1
                  А разработчики антивирусов наверное уже довольно потирают лапки. Появилась еще одна платформа, на которую можно начинать продавать антивирусы.
                    0
                    DrWeb уже давно продают.
                      0
                      Ну точнее пока раздают, но думаю как из беты выйдет будут и продавать.
              • UFO just landed and posted this here
                  0
                  вы забыли по 1-click root
                0
                "… пользователю нужно подтвердить инсталляцию приложения из «неизвестного источника» (“Unknown sources”)."
                Интересно, на сколько сложно было бы указать, что производителем является Google Inc., например?
                  +2
                  Не все так просто, цифровая подпись ведь.
                    +5
                    Пора регистрировать компанию «Unknown sources» и получать собственную цифровую подпись. )
                      +1
                      Причём компанию лучше сразу юридическую — исков к ней будет много :)
                        +2
                        Скорее, она сможет подать иски ко всем, кто незаконно использует её название. )
                  –1
                  А почему именно такой пример?
                    –16
                    Кстати был Удивлён, что такую новость написал данный Автор!
                      +3
                      Интерес вирусописателей с обфускаторами и шифрованием кода говорит о зрелости платформы.
                      Похоже, скоро отключенное состояние «Unknown sources» станет жизненной необходимостью для рядовых пользователей.
                        +1
                        я думал оно уже есть по-умолчанию)
                          0
                          По умолчанию «Unknown sources» отключены, но ведь интерес/любопытство + шаловливые ручки + «серые» устройства = включение данного пункта…
                            +1
                            Плюс часть софта, который распространяют не через маркет — Cityguide, например, из того что сразу вспомнилось.
                            Игры от Gameloft тоже не через маркет устанавливаются, но я надеюсь там хоть что-то предпринято для того, чтобы не надо было разрешать Unknown Sources, иначе эпидемию в стиле «новая игрушка от известного производителя, только у нас качай бесплатно» будет сделать совсем несложно.
                              –1
                              Да, есть с CityGuide'ом такое дело… мне как бета-тестеру все равно, а вот рядовым пользователям — заморочки…
                              0
                              с другой стороны, в конце концов, может наступить на грабли — необходимость, чтоб начать выбирать в сторону безопасности (а не танцующих поросят).
                                0
                                Зависит от устройства. На моей Motorola Milestone включено по умолчанию.
                                  0
                                  хм, на стоковой прошивке?
                                  на моих milestone'ах по-умолчанию всегда была выключена…
                                    0
                                    Угу. Мы об одном аппарате говорим? Их же в EMEA как минимум два. У меня тот, который аналог первого Дройда.
                                      0
                                      у меня 3 европейца из UK, ни в одном из них ни на одной uk, eu и ru прошивке включеной по дефолту галочки не видел. На русские прошивки, впрочем, смотрел мало.
                                        0
                                        Странно. Я точно помню как начал ставить какую-то прогу с флешки и она установилась без проблем, при том, что я не включал предварительно галку. Да и вообще не помню, чтобы включал.
                                        Может быть это она включена в том апдейте, который уже был относительно недавно? Где пофикшена проблема с ВНЕЗАПНЫМ включением плеера и прочее. Апдейт накатывал не по воздуху.
                            +1
                            Использую Droid Wall а режиме белого списка.
                            И пусть троянщики подавятся — пока я явно не разрешу выход в интернет, его у приложения нет.
                              0
                              Это и отключение «Unknown sources», как было сказано выше — скоро станет нормой для среднестатистических юзеров-домохозяек
                                0
                                И как ты собираешься с этим бороться с простым трояном отправляющий СМС на номер 4242 со скоростью 5 смс в минуту?
                                  0
                                  Для отправки СМС нужно разрешение пользователя при установке… плюс тот жe фаерволл это разрешение, скорее всего, тоже без проблем может блокировать.
                                    –1
                                    При установке это да. А если забил понадеясь на фаер? Фаер он по интернету, а СМС это знаете ли телефонная часть, так что фаер отправку СМС никак не заблокирует
                                      +1
                                      Значит нужно искать хороший фаер!
                                        0
                                        Касперский на телефоне? Нет пути!
                                +1
                                координаты устройства, номера IMEI и IMSI

                                Чтобы это собирать, нужно ведь добавить дополнительные пермишены к перепакованному apk. Соответственно, при установке android отчитается о доступе к подозрительным частям системы. Нужен ли доступ к телефонной части и GPS для обычной игры? Сомневаюсь.

                                Ну а обычные пользователи, они да, редко задумываются над простыней запрашиваемых разрешений перед установкой приложения. В этом и проблема.
                                  +1
                                  Часто сталкивался с тем, что приложения и игры в официальном маркете запрашивали права на работу с GPS. Почему и зачем — остаётся для меня загадкой. Сразу хочется отказаться, но…
                                    +1
                                    Ну, например flurry (библиотека для сбора статистики, аналог GoogleAnalytics) может показать пользователей приложения с детализацией до города, только при активном пермишене определения координат. А если без этого пермишена, то только по странам.

                                    Именно поэтому я не запрашиваю в своем piBalance доступ к локационным сервисам, итак иногда спрашивают, зачем мол ему доступ к интеренету.
                                      0
                                      Ой, так это ваша программа :) Огромное спасибо за неё. При возможности сделайте всё-таки проверку баланса по таймеру :)
                                        0
                                        Да, а то пару дней по телефону не звонил, а баланс-то уменьшается…
                                          0
                                          Угу, у меня вот основные расходы идут на GPRS, а звоню редко…
                                      0
                                      Мало того, если присмотреться к статус-бару — эти приложения при запуске включают GPS и определяют координаты :) Зачем — написали выше. Статистика.
                                        0
                                        Статистика установок и иногда — реклама (геотаргетинг).
                                          +1
                                          Запрашивают, чтобы, например, показывать вам рекламу с делением по регионам.
                                        0
                                        Всегда можно внедрить трояна в приложение, которому нужны эти разрешения для какой-нибудь никогда не используемой большинством людей функции.
                                          0
                                          Ага, если пермишен изначально требуется приложением, например «отправка смс», тогда у троянописателя полностью развязаны руки.
                                          –1
                                          А рутить телефон не надо? Может тогда какие-нибудь дополнительные возможности у трояна откроются? Плюс, в идеале, наверное, надо поставить кастомную прошивку с пересобранным ядром?
                                            +5
                                            если проблема будет нарастать, а она будет нарастать, то Гуглу придется с ней бороться
                                            например разрешить устанавливать софт только с Маркета)
                                            что то это напоминает, не могу вспомнить что…
                                              +3
                                              КО покряхтел и промолчал
                                                +3
                                                теряет форму :(
                                                0
                                                гугл так не сможет, ведь есть куча устройств с андроидом без сервисов гугла вообще.
                                                  0
                                                  Планшетники, например, идут иногда со «своими» маркетами, типа устройства от Тошиба.
                                                +1
                                                Готовят рынок для гигантов антивирусной промышленности.
                                                  +1
                                                  Не понимаю, что мешает гуглу расширить настройки безопасности приложений, чтобы при попытке отослать смс/выйти в сеть ОС спрашивала «Разрешить отправить такую-то СМС на такой-то номер?» и варианты ответов «Всегда разрешать», «Разрешить, но спросить в другой раз», «Всегда разрешать». Не сложно и безопасность значительно повысит.
                                                    0
                                                    при каждой попытке не надо, а вот добавить не только просмотр прав, а ещё и управление правами при установке приложения, было бы, на мой взгляд, оправданным. Типа, потребовала игра доступ к отправке смс, я сказал «фиг вам» и отменил доступ. Хотя, это тоже потенциально добавляет проблем, типа вопросов «ваша программа не работает!» Ага, при отключённом параноидальным хозяином доступом в сеть…
                                                    0
                                                    Теперь не только антивирусные компании смогут подзаработать, но и конторы по ремонту сотовых телефонов…
                                                      +1
                                                      Просто Android нуждается в стандартном фаерволле, который будет контролировать не только сетевые соединения, а смс, звонки, ммс… А также в системе аналогичной UAC. и все хорошо — идиоты они и так найдут грабли, а внимательным товарищам будет проще держать все под контролем.
                                                        0
                                                        >>А также в системе аналогичной UAC.
                                                        И первым делом её будут отключать :)
                                                          +2
                                                          ну я же сказал что дремучие дебилы в любом случае найдут способ себе навредить.

                                                      Only users with full accounts can post comments. Log in, please.