Эволюция угроз безопасности Android за последний год
Введение
Не знаю как Вы, а я люблю вредоносное программное обеспечение. Нет, конечно, вирмейк – это негативное явление и наказуемая деятельность. Но сама по себе малварь, отвлекаясь от результатов её работы, чаще всего представляет собой интересные и концептуальные программы, а на вирусной сцене присутствует достаточное количество талантливых разработчиков, способных воплощать оригинальные идеи и реализовывать сложную техническую часть.
Тем интереснее следить за эволюцией такого программного обеспечения…
Безопасность мобильных платформ
… и самым доступным объектом для наблюдения является платформа Android – системе всего три года и развивается она намного быстрее, чем её защитные механизмы. Популярность определяет интерес вирмейкеров к продукту. Кроме того, малварь, созданная под мобильные устройства, даст отличный эффект. Пусть на смартфонах и планшетах не крутятся сотни сайтов, зато они хранят личную информацию отдельного пользователя, а также обладают механизмами, которых нет у десктопов (SMS, GPS и другие) и которым ещё предстоит найти применение.
Год назад мы с другом создали сайт, посвященный мобильной системе от Google. Я веду там раздел «Безопасность», делаю заметки о появляющихся вирусах и уязвимостях. За последний год накопился небольшой материал, в котором достаточно четко можно проследить появление новых векторов и концептов атак мобильной платформы. Поэтому я скомпилировал всё в виде хронологии. Каждому её элементу я дам комментарий и мою субъективную оценку, а также ссылку на статью на моем сайте, где можно прочитать о сабже подробнее, потому что детали просто не уместятся в статье, да они и не нужны в её рамках.
Комментарий
В материале собраны исключительно те факты, которые связаны с появлением новых векторов атаки на платформу с помощью программного обеспечения. Это, в первую очередь, появление малвари, построенной по новым принципам, а также концепты исследователей и обнаруженные уязвимости, демонстрирующие новые подходы, которые могли быть использованы при создании вредоносного ПО.
В частности, сюда не попали вирусы вроде Android.Spy, поскольку в них нет ничего интересного – стандартный джентльменский набор «Юный троян» и лишние килобайты в антивирусной базе сигнатур. Итак…
Хронология
23 ноября 2010 – Специалист в области безопасности Томас Кэнон обнаружил уязвимость во встроенном в Android браузере. Она позволяла при помощи web-страницы с внедренным специальным javascript-кодом получить доступ к информации на SD-карте устройства.
Нельзя сказать, что эта уязвимость была уж очень серьезной, однако она нашла применение в дальнейшем при создании троянов под Android.
А ещё показательной стала реакция Google Android Security Team, которая была своевременно предупреждена специалистом. Уязвимость не была закрыта вплоть до выхода в декабре новой Gingerbread, куда дыра благополучно перекочевала!
Конец декабря 2010 — Lookout Mobile Security обнаружила на китайских рынках приложений троянскую программу Geinimi. Вредоносный код содержался в легитимных программах и играх. Это первый вирус для Android, который можно назвать действительно полноценным и технологичным. Он собирал личные данные пользователей и другую информацию, отправляя все это на удаленные серверы. Архитектура малвари позволяла разворачивать ботнет.
Конец января 2011 — Исследователи из City University of Hong Kong и Indiana University Bloomington представляют два концепта вредоносного троянского обеспечения, демонстрирующих две интересные идеи.
Программа Dubbed Soundminer использует микрофон устройства для перехвата речи, а из полученной записи специальный алгоритм распознавания вытаскивает произнесенные номера кредитных карт. Работает она в связке с другим прототипом – Deliverer. При этом оба трояна взаимодействуют между собой в обход существующих механизмов безопасности платформы, разработанных для предотвращения коммутации между приложениями. Благодаря этому трюку малварь может передавать информацию на сторонние серверы через другие приложения, а самой ей при этом не требуется доступ к Интернет.
Середина февраля 2011 — Появление трояна Android.Andrd – это первый конь, который, помимо осуществления стандартного набора действий, начал манипулировать поисковой выдачей браузера на зараженном устройстве. Это делалось для SEO-продвижения сайтов в поисковой системе Baidu. Таким образом, было реализовано ещё одно практическое применение мобильных вирусов.
Начало марта 2011 – пожалуй, самое громкое событие в мире безопасности Android – появление малвари на самом Android Market. До этого зараженные приложения обитались на различных варезных порталах, преимущественно китайских, а тут…
В течение нескольких дней появились данные о 21 инфицированной версии Android-приложений. Затем это число выросло до 56. Все программы были загружены с трех аккаунтов и представляли собой копии легитимных приложений с внедренным вредоносным кодом – заурядным трояном под названием DroidDream.
Безопасники Google опять допустили промашку, вовремя не среагировав на предупреждение – на самом деле троян был обнаружен очень быстро, это сделали разработчики приложения Guitar Solo Lite, проанализировав странные отчеты об ошибках своего зараженного детища. Они уведомили специалистов Google, но те момент прозевали и стали действовать только после того, как подобная информация появилась на крупном портале. К тому моменту было заражено большое количество пользователей, а общий объем за всё время составил около 200.000 зараженных устройств, став самым масштабным в мире Android.
Android Market был почищен (в этом принимали участие и сотрудники Symantec, Samsung и Lookout), а разработчики создали специальную утилиту Android Market Security Tool, устанавливающуюся автоматически и очищающую устройство пользователя. Она, словно в насмешку, была тут же протроянена неизвестными умельцами и выложена на альтернативные рынки приложений, вызвав новую волну заражения.
Начало апреля 2011 – Через несколько файлообменников в Азии распространилось инфицированное приложение Text and Walk. Зверек проводил с зараженного устройства рассылку SMS на номера из списка контактов (банковал, естественно, пользователь). В сообщениях находился следующий текст:
«Привет, я только что скачал с Интернета пиратское приложение Walk and Text для Android. Я тупой и нищий, а ведь оно стоит всего один бакс. Не воруйте как я!»
Такой вот вирус-правдоруб. Он даже предлагал пользователю скачать настоящее легитимное предложение. Впрочем, такое «примерное» поведение не мешало ему заниматься обычными троянскими делами вроде кражи персональной информации.
Начало мая 2011 – Специалисты из «Доктор Веб» обнаружили «первый полноценный бэкдор под Android» — Android.Crusewind. Трудно сказать, почему данная малварь получила такой титул. Ведь если брать типичную для бэкдоров черту – предоставлять доступ к командному интерпретатору системы, то у Crusewind такого не было, он не содержал в себе соответствующего эксплоита для получения root-доступа. А если брать более широкое определение бэкдоров как программных механизмов для управления взломанным устройством, то да, Crusewind принадлежит к этому классу, но уж точно не является первым. У того же Geinimi были вполне работоспособные механизмы, завязанные на командах.
Crusewind интересен и тем, что распространялся через SMS. Простой механизм – пользователю приходит ссылка на загрузку программы, если он скачивает её и заражает свое устройство, то SMS рассылаются по его списку контактов. Тут всё завязано на социальной инженерии. До этого момента подобного механизма распространения не встречалось. С другой стороны практически одновременно с Crusewind в Китае появилось семейство вирусов Android.Evan, экземпляры которого также распространялись через SMS и социальную инженерию. Трудно сказать, в каком ПО эта идея была реализована первее.
Конец июня 2011 – Специалист компании TrendLabs обнаруживает экземпляр вируса, который реализует механизм скрытой ретрансляции SMS-сообщений. То есть зараженное устройство выступает шлюзом. Верное командам злоумышленников, оно отсылает сообщения по указываемым адресатам, а входящие сообщения от этих адресатов передает на удаленный сервер. Использовать такой механизм, который получился очень гибким, можно массой способов – оплачивать SMS-биллинг, просто осуществлять отправку и прием сообщений, красть переписку пользователя. Однако сам троян, которого относят к тому же семейству Crusewind, выглядит на тот момент ещё сыровато – к нему не прикручены механизмы распространения. Да и практического использования этого новенького механизма пока не видно, но…
10 июля 2011 – обнаружен троян HippoSMS, который использует похожий механизм работы с SMS для того, чтобы рассылать сообщения с зараженных устройств на платные номера. Это одна из первых (и не последних, ближе к концу июля появилось семейство Android.Ggtrack, построенное на схожем принципе) реализаций такого направления в использовании зараженных мобильных устройств.
Середина июня 2011 – Fortinet рапортует об обнаружении модификации Zeus для операционной системы Android. Это важное событие, одно из самых значимых – с «больших» компьютеров на мобильную платформу перебирается малварь, которая невероятно технологична и опасна. Целью становятся финансовые данные пользователя. И, очевидно, что теперь на Android обратили внимание вирмейкеры самого высокого уровня.
Впрочем, данный мобильный троян получился не в пример своему «большому брату» топорным и с очевидными проблемами в архитектуре.
Начало августа 2011 – появляется новый вектор. На этот раз мишенью вредоносного ПО, а скорее его сырого прототипа, становятся разговоры пользователя – они записываются и сохраняются в файл, который затем передается на сторонние серверы. Прослушки на устройствах Android до этого момента ещё не было.
Середина августа 2011 – в поле зрения появился троян ANDROIDOS_NICKISPY.A, маскирующийся под приложение-клиент сети Google+, который использует вышеприведенный механизм прослушивания разговоров.
Конец августа 2011 — исследователи из университета Дэвиса в Калифорнии разработали приложение TouchLogger для Android, являющееся прототипом кейлоггера для устройств с сенсорным экраном. Реализована инновационная идея, построенная на использовании информации с датчиков устройства, а не на традиционных механизмах перехвата. Это действительно восхищает, настолько интересным и свежим получился концепт.
Начало сентября 2011 – вслед за Zeus на Android приходит SpyEye – другой продвинутый троян из мира «больших» компьютеров. Реализовано получение root-доступа на мобильном устройстве и встречавшийся ранее механизм работы с приемом и отправкой SMS.
Уникальным здесь является гибридное использование версий малвари под десктопы и под мобильное устройство. Заражается девайс как раз через соединение с компьютером. Напомню, что SpyEye нацелен на платежные системы, а большинство из них используют механизм привязки аккаунта к телефону. И операции со счетами пользователя требуют подтверждения с помощью SMS.
Раз SpyEye заразил компьютер, то он мог бы осуществлять кражу денег, если бы не SMS-подтверждения. Значит логично дорваться до мобильного устройства, а с ним и к необходимым операциям с SMS. Именно по такой идее и была разработана мобильная версия зверька, которая действительно стала хорошим методом обхода защитных механизмов платежных систем.
Конец сентября 2011 – совсем недавно все могли слышать об этом трояне. Он может и не попал бы в хронологию, если бы не отметился интересной реализацией механизма передачи команд с C&C-серверов на зараженные устройства посредством обычных открытых площадок-блогов в Интернете, содержащих зашифрованные записи с командами.
С другой стороны, AnserverBot (так его зовут) является малварью, которая характеризует и современную архитектуру, и тенденцию вирусостроения в целом. Вирь технологичен, содержит инструменты для усложнения обратной разработки, двухуровневую систему C&C серверов, неплохую боевую нагрузку. Интересные идеи он, безусловно, привнес.
Выводы
Как видно из хронологии, вредоносное ПО для Android постоянно совершенствуется и наблюдать за этим процессом на удивление интересно и полезно – здесь идеи, здесь концепты, здесь тенденция и креатив. Какими будут новые вирусы под Android сказать трудно, но совершенно точно мы увидим в них всё то, что появилось за последний год. Пока же наблюдается тенденция к технологичности и отточенности механизмов, к качеству. Но это не исключает того, что мы ещё увидим интересные идеи.
Вместо заключения
Хочется просто поделиться своим мнением – наиболее значимым событием можно назвать появление Geinimi, вируса, который стал одним из первых и очень технологичных, наиболее громким событием – заражение Android Market, наиболее интересными концептами – TouchLogger от калифорнийских исследователей и. безусловно, мобильный SpyEye.
Благодарю за внимание, любите изящные идеи, надеюсь, что вам эта тема показалась интересной.
Комментарии 52
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.