Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 90
«Разработчики вирусов находят все новые лазейки»
А в чем новизна? Всё тот же старый добрый метод «на дурака»: скачай вирус, проигнорируй все предупреждения о небезопасности содержимого от ОС, сам установи, наслаждайся результатом.
А в чем новизна? Всё тот же старый добрый метод «на дурака»: скачай вирус, проигнорируй все предупреждения о небезопасности содержимого от ОС, сам установи, наслаждайся результатом.
% дураков неизменный, а вот людей стало больше, это да.
Увеличился % дураков со смартфонами.
А один из «законов Мерфи» гласит:
Количество интеллекта на планете — величина постоянная. А на селение растёт…
Количество интеллекта на планете — величина постоянная. А на селение растёт…
на селениеой растёт… ;)
Это я не досмотрел за автозаменой
Не верю =)
Нигде в статье не написано, что общий подход с заражением претендует на новизну. По-сути данный смс-вирус — это все тот же метод социальной инженерии. Лучший друг/подруга прислал(а) ссылку на фото. Друзья ведь плохого не посоветуют…
То что пользователь заразился по невнимательности/доверчивости уже рассматривается, как произошедшее событие.
В выводе имеется в виду, что в целом, разработчики вирусов ищут и находят новые лазейки (уязвимости). Применительно к данной статье, новое — это изменение текста в системном сообщении и обильное покрытие его системными окнами. Лично я использования такого подхода на андроиде не видел.
То что пользователь заразился по невнимательности/доверчивости уже рассматривается, как произошедшее событие.
В выводе имеется в виду, что в целом, разработчики вирусов ищут и находят новые лазейки (уязвимости). Применительно к данной статье, новое — это изменение текста в системном сообщении и обильное покрытие его системными окнами. Лично я использования такого подхода на андроиде не видел.
А в чем новизна?
Исключен этап «скомпилировать»
Не разу еще не ловил вирус на свой телефон. Подскажите все ли вирусы нужно устанавливать таким образом? Если да, то каким идиотом нужно быть чтобы подхватить вирус на Android?
не факт, что все так же. но идиотом совсем не обязательно быть, можно просто быть среднестатистическим пользователем, для которого FOTO_ALB0M.apk не может содержать ничего кроме фотографий, и для которого список разрешений — непонятное окно, содержащее кучу ненужной информации, где главное найти кнопку ОК/продолжить.
Давно уже пора пойти дальше чем FOTO_ALB0M.apk. Действительно эксплуатировать уязвимости Андроида.
Например: Выкатить в Гугл Плэй, какую-нибудь программу которая устанавливает игры на смартфон (или что угодно). При первом запуске предлагает скачать список всех игр (отдельным apk или модулем), пусть даже эта программа и ставит всякие Тетрисы (марио). Но параллель еще качает патченый Framaroot на MTK устройства, активирует рута. Качает патченый суперюзер (без системных окошек), кастует права на зловредную программу. Та прописывается в системные приложения. Качает себе модуль торента, рассылки спама и пр. «ништяки. Начинает раздавать себя по торенту, для новых пользователей, параллельно занимается рассылкой спама и смс-ками на платные номера и пр. пакастью тихонечко. При следующей перезагрузке сносит суперпользователя, и остается тихонько пакостить. Эдакий ботнет на MTK устройства и пользователь играет в „тетрис“, ну не может его удалить потому, что это системное приложение „да и хай с ним пущай стоит“. И сервис тихонечко делает свои дела.
Например: Выкатить в Гугл Плэй, какую-нибудь программу которая устанавливает игры на смартфон (или что угодно). При первом запуске предлагает скачать список всех игр (отдельным apk или модулем), пусть даже эта программа и ставит всякие Тетрисы (марио). Но параллель еще качает патченый Framaroot на MTK устройства, активирует рута. Качает патченый суперюзер (без системных окошек), кастует права на зловредную программу. Та прописывается в системные приложения. Качает себе модуль торента, рассылки спама и пр. «ништяки. Начинает раздавать себя по торенту, для новых пользователей, параллельно занимается рассылкой спама и смс-ками на платные номера и пр. пакастью тихонечко. При следующей перезагрузке сносит суперпользователя, и остается тихонько пакостить. Эдакий ботнет на MTK устройства и пользователь играет в „тетрис“, ну не может его удалить потому, что это системное приложение „да и хай с ним пущай стоит“. И сервис тихонечко делает свои дела.
Угадайте, сколько такое приложение проживет в Google Play?
Да годик легко продержится. Есть программы которые докачивают доп. модули, не из Маркета, и вполне нормально и долго существуют, например Disa IM, никаких претензий у Гугла не возникает. Учитывая, что приложение будет нацелено только на МТК устройства, остальные пользователи не будут испытывать проблем, ну скачают ну посмотрят ну удалят, ну оставят отзывы нейтральные в Плэй Маркете, тем лучше. Можно вообще наглым стать и сделать приложение платным :)
Такое приложение исчезнет из плея вместе с аккаунтом разработчика в течении недели.
Если да, то каким идиотом нужно быть чтобы подхватить вирус на Android?
Таким же, который запускает image.exe в Windows.
Windows без антивируса предупреждает пользователя, что приложение может нанести вред компьютеру и не рекомендует его устанавливать?
Вообще-то, да
UAC, появившийся в Vista именно для этого и предназначен.
SmartScreen из модных… В Windows 8 появился. По функционалу похож на гугловский Verify Apps — отправляет куда-то в Microsoft на проверку. Кроме того «Файл %filename.exe% скачивается редко и может причинить вред компьютеру» — без комментариев, просто факт из IE11.
Chromium, кстати говоря, оказался более непримиримым: %filename.exe% is malicious, and Chromium has blocked it. Из загрузок можно, конечно, восстановить «recover malicious file»->«Recover malware? This file will harm your computer. ...» -> «Hurt me plenty» (button). И все это из-за лично собранной на коленке программы, что будет перезапускать раз в N секунд скрипт (не имеющий отношение к программе), нажатием одной клавиши?))
Chromium, кстати говоря, оказался более непримиримым: %filename.exe% is malicious, and Chromium has blocked it. Из загрузок можно, конечно, восстановить «recover malicious file»->«Recover malware? This file will harm your computer. ...» -> «Hurt me plenty» (button). И все это из-за лично собранной на коленке программы, что будет перезапускать раз в N секунд скрипт (не имеющий отношение к программе), нажатием одной клавиши?))
Бедный котёнок. Автор вируса изверг.
Почему вирус? Троян же. Сам скачал, сам запустил, сам разрешил. Вирус самостоятельно должен распространяться, файлы инфицировать. От сюда и название.
вирус звучит более устрашающе )
я не очень в теме, а под андроид есть ли какие-то настоящие вирусы, для которых не нужно скачал/запустил/разрешил?
я не очень в теме, а под андроид есть ли какие-то настоящие вирусы, для которых не нужно скачал/запустил/разрешил?
Да, вы правы, троян.
Для специалистов в области информационной безопасности непростительный ляп.
Но для обычных пользователей слово вирус привычнее. Поэтому пришлось пойти на преступление и выдать желаемое за действительное. Уж, простите.
Для специалистов в области информационной безопасности непростительный ляп.
Но для обычных пользователей слово вирус привычнее. Поэтому пришлось пойти на преступление и выдать желаемое за действительное. Уж, простите.
Ура! Хабр — для домохозяек!
Нет, за такое не прощают. Во имя Тьюринга, Фон-Неймана и Товальдса, используйте правильную терминологию! А то из за таких-вот популяризаторов неправильный термин и закрепился.
Тогда уж и то самое славное имя фон Неймана надо бы тоже правильно писать :)
А смс-ку отправлял кто? Вирус же и отправлял по всем контактам. То есть он сам распространяется.
Если бы участие человека вообще не требовалось — это был бы уже сетевой червь.
Если бы участие человека вообще не требовалось — это был бы уже сетевой червь.
я правильно понял, максимум с десятой попытки можно будет к вам дозвониться?
Есть же безопасный режим. Долгий тап по кнопке Отключить питание.
Сейчас покручу, если автор не против.
Не против.
Троян с зараженного устройства рекурсивно рассылает смс «привет. тебе фото...» всем контактам из телефонной книги. Причем, после перехода по ссылке твой номер помечается, как зараженный и больше на него смс не приходит.
Троян с зараженного устройства рекурсивно рассылает смс «привет. тебе фото...» всем контактам из телефонной книги. Причем, после перехода по ссылке твой номер помечается, как зараженный и больше на него смс не приходит.
Это тоже Сбербанковский троян. Отправляет сообщения на номер 900.
В общем, в вирусе используется своя реализация base64 для декодирования, как я понял, одной единственной строки — домена CnC *******.ru (на данный момент сервер почти не отвечает).
Вирус умеет отправлять на сервер информацию о телефоне, получать СМС от Сбербанка, получать номера входящих звонков, перехватывать СМС, посещать ссылки, звонить, обновлять себя (в /mnt/sdcard/download/update.apk), ну и распространять себя по телефонной книге.
Еще есть глупенькая проверка на запуск внутри sandbox или эмулятора.
Вирус умеет отправлять на сервер информацию о телефоне, получать СМС от Сбербанка, получать номера входящих звонков, перехватывать СМС, посещать ссылки, звонить, обновлять себя (в /mnt/sdcard/download/update.apk), ну и распространять себя по телефонной книге.
Еще есть глупенькая проверка на запуск внутри sandbox или эмулятора.
Еще Касперским прогоните для полноты картины.
И проверьте их реакцию если они будут установлены перед установкой зловреда.
И активные ссылки бы убрали. Мало ли что у них там.
И проверьте их реакцию если они будут установлены перед установкой зловреда.
И активные ссылки бы убрали. Мало ли что у них там.
Автор, у вас друзья — работники спецслужб РФ. Вы там поосторожнее.
В Украине Android-пользователей атаковал SMS-вирус
В Украине Android-пользователей атаковал SMS-вирус
Комментарий пресс-службы СБУ:
Служба безопасности Украины предупреждает, что в течение последних суток с российских информационных ресурсов происходит спланированная спецслужбами РФ информационная диверсия по заражению вредительскими программными продуктами мобильных телефонов украинских граждан.
СБУ установила, что с помощью этого вируса преступно собирается информация об IMEI (уникальный номер терминала) инфицированного телефона, балансе счета и персональных данных простых граждан. Именно эти данные могут быть использованы для массовой DoS-атаки на определенные ресурсы.
Для простых пользователей, когда они хотят включить установку из непроверенных источников, надо включать принудительный видео ролик, рассказывающий о подобных зловредах.
Ведь почему они такие доверчивые? Они просто не знают, что какая-то опастность существует.
А так грамотность точно повысится. Другое дело, что это будет сложно реализовать…
Ведь почему они такие доверчивые? Они просто не знают, что какая-то опастность существует.
А так грамотность точно повысится. Другое дело, что это будет сложно реализовать…
Проблема ещё в том, что многие приложения реально требуют таких прав. На счёт администратора спорно, так как если пользователю понадобилось такое приложение, то он уже продвинутый пользователь, и в большинстве случаев знает, что делает.
А вот доступ в интернет, к звонкам, телефонной книге, к карте памяти и т.д. — стандартное поведение большинства нормальных приложений. А предупреждающее окно одно и то же. То есть пользователей надо ещё научить как-то идентифицировать угрозу не только по источнику (даже установка с Google Play не всегда безопасна), но и по другим признакам, зачастую косвенным (к примеру, зачем калькулятору понадобилась телефонная книга?)
А вот доступ в интернет, к звонкам, телефонной книге, к карте памяти и т.д. — стандартное поведение большинства нормальных приложений. А предупреждающее окно одно и то же. То есть пользователей надо ещё научить как-то идентифицировать угрозу не только по источнику (даже установка с Google Play не всегда безопасна), но и по другим признакам, зачастую косвенным (к примеру, зачем калькулятору понадобилась телефонная книга?)
зачем калькулятору понадобилась телефонная книга?
Отослать результат вычислений другу по смс? :)
Как-то захотел установить «фонарик» (включатель «вспышки»). Перебрал с десяток вариантов и был озадачен тем, что все требую целую кучу разрешений (начиная с контактов и заканчивая доступом в Интернет). Не совсем понятно чем при этом руководствуются разработчики. Лично меня настораживает такое поведение программы и я предпочту ее не устанавливать и не использовать.
Ну с доступом в интернет можно смириться — хотят рекламу гнать. Остальное действительно не понятно.
Просто Android-кодеры обленились, программы уже никто не набирает средствами одного лишь Android SDK, все пользуются фреймворками, которые как раз и требуют кучи разрешений (особенно если не озаботиться даже минимальной настройкой проекта).
Вот и выходит, что обычный фонарик весит от 20Мб, требует всех разрешений, какие только существуют в природе, и жрёт столько процессорных ресурсов, что пользователю приходится надевать асбестовые перчатки.
Вот и выходит, что обычный фонарик весит от 20Мб, требует всех разрешений, какие только существуют в природе, и жрёт столько процессорных ресурсов, что пользователю приходится надевать асбестовые перчатки.
А, вон оно как. Ситуация, как и с большим братом. Но там это хотя-бы оправдано.
ИМХО, нигде не оправданы калькуляторы однофункциональные приложения, которые весят 20+ мегабайт и требуют полного набора дотнет фреймворков, часть из которых уже не установится на целевую ОС, и часть из которых еще не установится на целевую ОС (пришлось попотеть как-то раз с установкой старых дотнет фреймворков на Windows 8… врагу не пожелаешь).
А что там с эмуляцией ресурсов системы? Я хочу, к примеру, дать программе доступ к одной папке — и чтобы она думала, что это целая SD-карта. Хочу дать доступ в интернет по прописанным мной маскам — и чтобы приложение думало, что так и должно быть. Хочу дать доступ к фейковому слоту для SMS и к фейковым пайпам голосового ввода-вывода вместо реальных.
Это бы сильно помогло в отладке и сильно повысило безопасность системы.
А то когда для подобной платформы начали появляться антивирусы, это почти что роспись Гугла в неспособности организовать вменяемые механизмы изоляции процессов, ресурсов и данных.
Это бы сильно помогло в отладке и сильно повысило безопасность системы.
А то когда для подобной платформы начали появляться антивирусы, это почти что роспись Гугла в неспособности организовать вменяемые механизмы изоляции процессов, ресурсов и данных.
В некоторых устройствах что бы включить установку из непроверенных источников нужно стать разработчиком. Из того, что мне попадалось (Lenovo сток RU вроде бы) нужно тапнуть 10 раз по строке версии в Settings-About.
Меня этот подход несколько раздразил, т.к. я 10 минут не мог найти привычный чекбокс, без которого AdFree не ставится, но возможно для рядового пользователя это даже полезно.
Меня этот подход несколько раздразил, т.к. я 10 минут не мог найти привычный чекбокс, без которого AdFree не ставится, но возможно для рядового пользователя это даже полезно.
Ув. автор, вы забыли упомянуть, что у вас стоит галочка «Разрешить установку из непроверенных источников».
Я — Албанский вирус, но в связи с очень плохим развитием технологии в моей стране к сожалению я не могу причинить вред вашему компьютеру.
Пожалуйста будьте так любезны стереть один из важных файлов с вашего компьютера самостоятельно и перешлите меня другим, можно просто ссылку на меня.
Заранее благодарен за понимание и сотрудничество.
Теперь и для андроида!
Мне не совсем понятно зачем вирус тестить вот так вот прямо в боевых условиях.
Если у вас не пошла скачка по директ-линку с компа, то разве не проще подменить user-agent + реферер? То есть просто напросто передать замаскированный запрос?
Причем я бы не рискнул проводить такое даже со своего компа (разве что только с вм), вдруг там связка стоит а вы вот так лезете… Просто пишите скрипт на том же curl например, пара заголовков, строк 10 кода и все, .apk-файл у вас скачан на сервер, а в случае риска со связкой так курлу на нее все равно.
Ну и далее лучше сперва расковырять сам файл, а уж только потом запускать, примерно представляя что он будет делать.
Если у вас не пошла скачка по директ-линку с компа, то разве не проще подменить user-agent + реферер? То есть просто напросто передать замаскированный запрос?
Причем я бы не рискнул проводить такое даже со своего компа (разве что только с вм), вдруг там связка стоит а вы вот так лезете… Просто пишите скрипт на том же curl например, пара заголовков, строк 10 кода и все, .apk-файл у вас скачан на сервер, а в случае риска со связкой так курлу на нее все равно.
Ну и далее лучше сперва расковырять сам файл, а уж только потом запускать, примерно представляя что он будет делать.
А если и хочется побороться с вирусом в боевых условиях, то есть же avd. Запустил виртуалочку — и хоть целый зоопарк плоди там.
avd
Есть даже попроще вариант: Bluestacks. И даже есть x86 версия под любую виртуалку.
А троян не может понять, что его запускают не на реальном устройстве, а на виртуальной машине? Помнится у некоторых вирусов для PC была такая проверка.
То есть просто напросто передать замаскированный запрос?Что такое «замаскированный запрос»?
вдруг там связка стоит а вы вот так лезетеЧто такое «связка»?
Просто пишите скрипт на том же curl напримерЧто такое «скрипт на curl»?
а в случае риска со связкой так курлу на нее все равно.Риск с чем? Что такое «курл»?
Что такое «замаскированный запрос»?
Замаскированный под браузер андроида (или что там у автора) запрос. Обычный http запрос с подделанными заголовками user-agent и referer.
Что такое «связка»?
Связка, сплойтпак, експлойт-пак, exploit-pack — это комплекс серверных и клиентских скриптов (и не только), способных пробить ваш браузер и загрузить на компьютер или другое устройство заразу без вашего ведома.
Что такое «скрипт на curl»?
Скрипт на курле (curl) это как пример автоматизированной скачки, можно скачать apk файл и другими способами, просто курл это как швейцарский нож при работе с http, заголовки андроидного браузера там подделать проще простого.
Риск с чем? Что такое «курл»?
Риск с тем, что если вы зайдете на зловредную страницу для андроидов — она может оказаться зловредной не только для андроидов и заразить ваш компьютер (если вы это сделаете без виртуальной машины и других мер безопасности). Обычно у связок выдается javascript-роутер который проверяет устройство/браузер на версии и плагины и исходя из этого выдает нужный эксплойт.
Короче говоря, курл не подвержен пробиву никакой известной на данный момент связкой, поэтому загружать им зловредов и ходить по левым ссылкам безопасно.
Замаскированный под браузер андроидаЖду статью «маскируем запросы под браузеры».
комплекс серверных и клиентских скриптов (и не только), способных пробить ваш браузер и загрузить на компьютер или другое устройство заразу без вашего ведомаТакже жду статью «пробитие браузера». С примерами таких скриптов, которые способны.
Скрипт на курле (curl)Вы, видимо, из тех, кто говорят «ок», «эксéль», «язык программирования Це плюс плюс» или даже «я программирую сайты под аштиэмэль»?
Читается «кёрл»: en.wiktionary.org/wiki/curl#Pronunciation
Раз уж вы теперь в курсе, как читается cURL, то и вы нас, пожалуйста, научите скриптовому языку программирования «curl». Интересно же, очень! И как обычно, жду статью.
Риск с тем, что если вы зайдете на зловредную страницу для андроидов — она может оказаться зловредной не только для андроидов и заразить ваш компьютер (если вы это сделаете без виртуальной машины и других мер безопасности). Обычно у связок выдается javascript-роутер который проверяет устройство/браузер на версии и плагины и исходя из этого выдает нужный эксплойт.Пожалуй, статья о массовых, повсеместно работающих (то есть 0-day, не закрытых) уязвимостях в браузерах, позволяющих выполнять произвольный код просто при переходе по ссылке, или, как вы их называете, связками, будет также очень интересна всем хабражителям.
Короче говоря, курл не подвержен пробиву никакой известной на данный момент связкой, поэтому загружать им зловредов и ходить по левым ссылкам безопасно.
Вы вообще почему уверены, что подобные дыры существуют? Я вам из-под суперпользователя зайду на любую страницу, какую вы только назовёте, окей? Чтобы вообще закрыть эту тему.
«Хакер» в сабжевом случае полагается исключительно на недалёкость пользователя, которому для того, чтобы привести «вирус» в действие, необходимо двадцать раз проигнорировать все предупреждения.
И вы в таком случае действительно думаете, что если пройти по ссылке в любом современном браузере, то хакер сразу же пробьёт ваш браузер, проникнет на ваш компьютер, обойдёт системы защиты,^W^W^W получит права суперпользователя, удалит все данные, испортит BIOS, и через вредный кинескопный экран пошлёт смертоносные лучи пользователю прямо в моск?
Честно говоря, повеселили, спасибо. (^_^)
уязвимостях в браузерах, позволяющих выполнять произвольный код просто при переходе по ссылке
Мне вот вспоминается недавняя атака на Tor через уязвимость в Firefox, входящий в состав TBB. Там как раз выполнялся определенный код, который демаскировал IP адрес пользователя (конечно, если тот не включил NoJS).
Да, один раз я умудрился подцепить винлокер просто зайдя на страницу (браузер был Opera, версия 12). То есть компьютер тут же ушел в ребут, а после загрузки выскочил винлокер. При этом был включен UAC и антивирус.
Так что такое возможно.
Ну у вас еще много открытий впереди. И да, судя по вашему ответу — просто совет, сделайте бекап важных данных.
Ну у вас еще много открытий впереди.Ага, и на порядок больше, если я продолжу читать ваши комментарии.
А про бекап шутку не понял. Вы таки собрались меня взламывать? :D
P. S. Хабр всё же уже не тот…
Это отличный способ увидеть и почувствовать все то, что видит и чувствует при установке трояна обычный пользователь. Если есть отдельное устройство, на котором можно все протестировать «вживую» с минимальным риском, то зачем все усложнять?
по поводу удаления… а что мешало подключить телефон к компьютеру и написать adb uninstall [package name]?
Ну, это, конечно, скорее всего решит проблему, да и данные буду сохранены… но OP вроде бы пытался найти алгоритм, по которому сможет относительно просто проследовать любой заразившийся пользователь (а как мы уже поняли, такие пользователи не очень умны хотя бы потому, что смогли заразиться). А с подключением планшетника к компьютеру у некоторых людей может возникнуть проблема просто за неимением компьютера, то есть до установки
adb дело может и не дойти…
Вирус? Не увидел никаких вирусовых свойств у этой программы. Я думаю это просто вредоносная программа.
Вирус, троян и червь — это не вредоносная программа?
Я просто оставлю это здесь вредоносная программа, она же малварь, она же «зловред».
Как уже было отмечено в комментариях mayorovp (см. выше), данный зловред, помимо того, что он относится к группе троянов, обладает и вирусными свойствами — рассылает ссылку на себя другим пользователям.
Я просто оставлю это здесь вредоносная программа, она же малварь, она же «зловред».
Как уже было отмечено в комментариях mayorovp (см. выше), данный зловред, помимо того, что он относится к группе троянов, обладает и вирусными свойствами — рассылает ссылку на себя другим пользователям.
А смс-ку отправлял кто? Вирус же и отправлял по всем контактам. То есть он сам распространяется.
Это sms-червь =)
del
человек хотел суть передать а вы к слову уцепились вирус это или нет, какая разница как его назвать? Видать спецы большие
У меня знакомая поставила такое приложение. Скачала в телеграм apk под видом "фото заказа", установила приложение. Его даже запускать не надо, мгновенно уходит sms (подозреваю, что с номером исходного телефона) на сторонний номер (привет, МТС с левыми сим) и на 900.
В ответ посыпались "вход в mts bank", но в этот раз успели понять и отреагировать быстро, бед не натворили.
Касперский (привет, лучшая защита!) на телефоне стоял, но почему-то именно в этот момент в очередной раз при запуске попросил разрешения на использование и, по сути, не работал.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
SMS-вирус под ОС Android или «Привет :) Тебе фото…»