Новое вредоносное ПО для Android взламывает смартфоны и подключает их к ботнету

    В начале месяца профессор Сюйсянь Цзян (Xuxian Jiang) из Университета Северной Каролины обнаружил и описал очередное вредоносное ПО для Android, известное под названием RootSmart. В целом действует оно традиционно: после инфицирования смартфона, программа начинает отсылать SMS на платные сервисы мошенников, разоряя таким образом мобильный счет владельца. Но это не единственная особенность RootSmart. Больше всего профессора заинтересовал тот факт, что инфицированные устройства автоматически подключаются к ботнету.

    Стоит отметить, что это не первый мобильный клиент ботнет сети. Например, еще в 2010 году существовал такой вирус как Geinimi. Но уникальной особенностью RootSmart является система инфицирования смартфонов под управлением Android 2.3. После попадания в телефон он подгружает с удаленного сервера эксплойт GingerBreak, который после активации обеспечивает программе root-доступ к системе и возможность без разрешения пользователя установить дополнительные утилиты для удаленного администрирования. После этого у злоумышленника появляется полный контроль над смартфоном, подключенным к ботнету.
    image
    На данный момент электронная зараза обнаружена в Китае, в местных магазинах Android-приложений. По данным профессора Ксаксиан Цзян, к ботнету ежедневно подключается от 10 до 30 тыс. зараженных устройств. Стоит отметить, что приложение видно в системе. Чаще всего оно маскируется под раздел «Настройки», используя аналогичный значок. В целях безопасности специалист рекомендует пользоваться только проверенными источниками для загрузки приложений и установить антивирусное ПО.

    Источник
    Поделиться публикацией

    Комментарии 97

      +12
      О как время изменилось — под линукс (андроид) вирусы и ботнеты, а под виндовс (wp7) вирусов нет)
        +16
        но так же под линукс и осталось — скачай, установи… и всё сам!
          +5
          Проблема в популярности ведь. Под десктопы винда популярна — под нее больше всего вирусов. Андроид сейчас одна из самых популярных мобильных ОС, под него появились вирусы. Только на деле проблема кажется раздутой, ведь если на компьютере зловред имеет возможность проникнуть в систему без ведома пользователя, в мобильной среде явных уязвимостей довольно мало, приложения перед попаданием в маркеты проверяются, и большинство вирусов распространяются через неофициальные маркеты или при помощи ручной установки или джейлбрейка (как большинство вирусов для iOS).
            +5
            Переформулирую:
            Проблему зловредов под Windows тоже можно объявить раздутой, ведь если на смартфоне зловред имеет возможность проникнуть в систему без ведома пользователя (к примеру, через как бы невинное приложение фотообоев из маркета), то в Windows 7 явных уязвимостей довольно мало, приложения распространяемые через официальные источники (магазины софта, сайты производителей ПО) проверяются, и большинство вирусов распространяются через неофициальные форумы, торренты и файлопомойки под видом «виндовс7ультрамегазверопаков», «вылеченного» ПО, «нового скринсейвера» или «таблеток от жадности» и требуют ручной установки с правами администратора.
            :)
            +1
            Вот и пришло время внимательно думать о различиях между GNU/Linux и Android/Linux. В андроиде от линукса — только ядро. А то, что привыкли называть «линукс» — это GNU/Linux.
              0
              Linux это ядро, это GNU/Linux это уже операционная система. А Android такой же Linux, как и OSX со своим Mach, поскольку от Linux в Android остались только общие принципы архитектуры ОС.
              0
              Вирусы способны заражать другие компьютеры \ смартфоны, это обычное вредоносное ПО. Оно всегда существовало под все платформы.
              +19
              Под «инфицированием» подразумевается что пользователь скачал, установил и дал разрешение на доступ в сеть? Ну-ну.
                +1
                В данном случае неправильно сваливать всю ответственность на пользователя. Большинство из них даже не подозревают о возможности получить себе вирус или троян из официального Гугл Маркета, и по умолчанию доверяют всему что оттуда качают. А доступ в сеть нынче просят 99,9% программ.
                  +11
                  в местных магазинах Android-приложений
                  third-party software market in China
                    –3
                    Извините, косяк… Но тем не менее, и в официальном маркете такое встречается.
                      +1
                      Однако гораздо реже, да и зловредное приложение тот же Google может воспользоваться своим правом и удалить зловреда с устройств пользователей.
                        –5
                        Давайте доказательства.
                          0
                          Доказательства троянов и вирусов в маркете?

                          Ну, навскидку: securitywatch.pcmag.com/none/293451-millions-download-new-trojan-discovered-in-android-market

                          Это первая попавшаяся ссылка.
                            0
                              0
                              И что? Зловреда в маркете нет?
                                –5
                                Да, нет.
                                    0
                                    И еще www.dailymail.co.uk/sciencetech/article-1362676/Android-hit-rogue-app-viruses.html

                                    … да много их. И спорить тут не очем.
                                      +1
                                      Вся проблема в том, что огромное количество поступающих приложений просто невозможно фильтровать в нормальные сроки. Да, возможно вирусы в Android Market есть. Но разве их не удаляют, как только станет о них известно, и разве нельзя проявлять элементарную аккуратность, читая зависимости приложения перед его установкой, если вы так боитесь вирусов?
                                        +2
                                        Эпплу как-то это удается, а приложений там побольше будет. Просто Гугл не хочет тратить на это ресурсы, но когда-нибудь придется. Более того, Гугл уже начал двигаться в этом направлении, и это правильно. Но отрицать что зловреда в маркете нет — нельзя. Лично я кроме официальных приложений от известных разработчиков ничего оттуда не ставлю.
                                          +3
                                          На Apple постоянно жалуются про долгие сроки рассмотрения приложения. Тут уж или скорость, или качество.
                                            +2
                                            День-два, максимум неделя совсем не долгие сроки, думаю многие бы на это согласились чтобы быть уверенным что программа не вирусная. Гугл жадничает, не хочет тратится на контроль качества перекладывая проблемы на плечи пользователей.
                                              –3
                                              И то, неделя — не потому, что не успевают в реальном времени просматривать (ведь тогда бы этот срок постоянно увеличивался), а потому, что за эту неделю разработчики часто находят какой-то критический баг и сами отзывают программу :) Гениальное и простое решение — а сколько багов так было исправлено…
                                              0
                                              > На Apple постоянно жалуются про долгие сроки рассмотрения приложения

                                              Кто? Жалуется от силы сотня разработчиков (из которых большая часть сами виноваты, что правила не читают) на несколько сотен тысяч приложений.

                                              Среднее время рассмотрения приложения в аппсторе — что-то около двух недель.
                                            0
                                            Даже у Аппле бывают проколы — это приложение-фонарик, которое на деле оказалось tethering-приложением (когда в iOS ещё его не было). Понятно, что это не зловред, но сам факт пропуска функционала говорит о человеческом факторе.
                                            И было ещё приложение на которое можно было ставить пин-код, а оно потом отправляло его разработчику. Он потом ещё выложил статистику распространённых пин-кодов. Это тоже не зловред, но Аппле недоглядело функцию отправки.
                                            И это только то, о чём стало известно.
                                        0
                                        И по вашей же ссылке bugtraq.ru/rsn/archive/2012/02/07.html
                                          0
                                          Все обнаруженные варианты трояна распространяются через российские веб-сайты
                                          0
                                          вы мыслите статически. Во первых в самом маркете завелся антивирус. Ищите новости. Которы сканит известные вирусы плюс помещает в пробирку все подозрительные. Так что не все так плохо.
                                        0
                                        Ну и вот еще: news.cnet.com/8301-13506_3-20086814-17/android-trojan-records-your-phone-conversations/

                                        Да много их… вбейте в поиск android trojan или android virus
                                          0
                                          market.android.com/search?q=%22Android+System+Message%22&c=apps&hl=en
                                          We couldn't find anything for your search — «Android System Message».
                                            –1
                                            Эээ… оно ладно, что зловред беспрепятственно попадает в маркет. Но если бы Гугл его оттуда еще и не удалял, это была бы катастрофа, нет?
                                              0
                                              Так ведь Google их оттуда удаляет. В чем проблема? В тех же десктопных ОС (в-основном Windows, гораздо меньше Linux и OS X) вам приходится устанавливать антивирус, который все равно может пропустить некий свеженький троян. Никто не застрахован.
                                                0
                                                Ну, Гугл не не сразу их обнаруживает. Пока Гуглу сообщат о зловреде, часто проходит критически много времени, и вирус успевает сделать свое черное дело. И в данный момент неизвестно, сколько вредосного ПО в маркете, так как на входе никто ничего не фильтрует.
                                                  0
                                                  Так и антивирус может пропустить троянчик, а тот хоп! и угробит все данные. Еще раз повторю: никто не застрахован.
                                                    +1
                                                    Да, с этим не спорю. Просто выше кто-то писал, что зловреда в маркете нет. Согласитесь, это глупая и опасная иллюзия. К сожалению, в нынешних реалиях маркета нужно соблюдать крайнюю осторожность и внимательно изучать привелегии устанавливаемых приложений.
                                                    0
                                                    вообще то гугл внедряет антивирус… как раз в самом маркете…
                                            –2
                                            Не верьте тому что вам попало. Ниже вам ответили.
                                        +1
                                        Ну так и под винду вирусы чаще всего прячутся в кряках, а не на дисках с лицензионным ПО.
                                        –2
                                        Где в маркете можно скачать вирус или троян?
                                          0
                                          market.android.com/details?id=com.ole.pdd&feature=search_result
                                          А вот я неделю назад поймал програмку на попытке закачать вирусок, почти месяц работала прога нормально, а потом под видом системного обновления, предложила установить троян.

                                          Будьте бдительны.
                                            0
                                            Это вопросы к создателю софта и используемой им системой монетизации приложения, а не к Android. К тому же после того как вы это скачаете, Андроид спросит у вас разрешения на установку.
                                              +1
                                              Вы спросили где скачать — я дал ссылку. На вопросы кто виноват я не отвечал.
                                                0
                                                Вы на самом деле не понимаете разницу между «скачать в маркете» и «скачать по ссылке из программы не являющейся трояном» или прикидываетесь?

                                                Купите мотоцикл, свалитесь на нем в реку, а потом предъявляйте претензии производителю мотоцикла, мол «на ваших мотоциклах в реку падают люди».
                                                  +1
                                                  Я претензии никому не предъявлял это раз.
                                                  Почитайте определение троянской программы это два.
                                                    0
                                                    Троян в вашем случае — пытающееся попасть к вам через программу ПДД вредоносное ПО под видом «системного обновления».

                                                    Сама программа ПДД — не троян.
                                                      +1
                                                      Троян тем и отличается от вируса, что он, маскируясь под полезную программу, требует действий пользователя для своей работы. Мне кажется, что эта программа под данное определение вполне подходит.
                                      0
                                      Ну тогда вспоминайте как обычно троллили линуксоидов, что мол ваш Линукс это как не уловимый Джо — никто его поймать не может, потому что он и нах никому не нужен
                                        0
                                        «Антивирус» от таких вирусов прост, как автомат Калашникова: демон, отслеживающий попытки стороннего ПО отправить СМС на короткий номер. В случае обнаружения попытки — громкий алярм, и большая красная кнопка «Удалить зловреда».
                                          +4
                                          А если она ничего не отправляет, а просто тихонько ддосит рутрекер?
                                            +1
                                            А если он сначала эксплойт качает, рута получает, демон патчит, а уже потом СМС отправлять начинает?
                                            0
                                            и возможность без разрешения пользователя установить дополнительные утилиты для удаленного администрирования.

                                            Перед устновкой приложений ведь всегда вылазит окно со списком разрешений и кнопками Ok, Cancel. Каким образом?
                                              0
                                              С правами root эту функциональность можно обойти?
                                                +1
                                                Только при попытке получения прав рута опять-таки выскочит окошко с запросом…
                                                  0
                                                  А какая разница? Человек качает себе програмку «установи меня и твоя зарплата увеличится в 10 раз», а потом эта программа докачивает в себя зловредный функционал. Теоретически, можно, наверное, сказать, что такой код недопустим. Но практически: а вот фиг его найдёшь.
                                                    0
                                                    я имел ввиду, что при установке каждого дополнительного функционала (нового .apk файла) будет всплывать окно с подтверждением
                                                      +2
                                                      Нет. Один раз получаем права рута и ставим втихаря что угодно в любых количествах. Так работает Titanium Backup, например. Он восстанавливает софт из бекапов в режиме batch без всяких окошек и подтверждений. А джинджербрейк позволяет получать рута без привычного su с запросом. Так что зловреда один раз поставил и всё.
                                                    0
                                                    Только при условии что телефон был проручен пользователем заранее.
                                                  +1
                                                  > всегда вылазит окно со списком разрешений и кнопками Ok, Cancel. Каким образом?

                                                  никто этот список не читает, и читать не будет. Особенно при обновлении.
                                                  +8
                                                  Антивирусы под андроид — это разводка для наивных. Антивирус, без рута это обычное приложение бегущее в своей песочнице, без доступа к другим приложениям. А большинство «вирусов» это вовсе не вирусы, а приложения которые пользователь сам установил и разрешил им допуск к подсистемам. Пасьянсы требующие права на отсылку смс и пользователи на это соглашающиеся — это определенно проблема, но не к вирусам не к антивирусам, это не имеет никакого отношения.
                                                    +1
                                                    В этой статье и пишут именно про вредоносное ПО, а не вирусы.
                                                      0
                                                      Я про совет в конце.
                                                      0
                                                      Ключевое слово — Gingerbreak. И ваш мобильник имеют в хвост и гриву.
                                                        0
                                                        если он конечно работает на вашей прошивке :)
                                                      +5
                                                      Меня вот всегда удивляло, почему в андроид не встроили ограничитель пермиссий, к примеру, чтобы любое приложение, пытающееся отправить смс, блокировалось с сообщением на экране.
                                                        +1
                                                          +1
                                                          Приложение — это понятно, но такая вещь просто обязательно должна быть прямо в девайсе, а не ставиться на по сути взломанный (рутованный) телефон. Уже не одно приложение на стал устанавливать, так как им почему-то требовалось получать доступ к адресной книги и рассылке смс.
                                                          0
                                                          При установке программа спрашивает разрешение.
                                                          А если каждый раз разрешать — кому такие программы нужны?
                                                            0
                                                            Она не спрашивает разрешения, она просто ставит перед фактом, что будет слать смски.
                                                              0
                                                              И отказаться нельзя? Что-то из области фантастики.
                                                                +2
                                                                Нельзя отказаться от конкретной пермиссии, только отказаться ставить приложение целиком.
                                                                  +2
                                                                  БИНГО!

                                                                  Вы себе представляете обычного пользователя, которому приходит вопрос о куче разрешений с галочками, он запрещает (из каких-либо своих внутренних соображений) программе доступ в интернет или еще какие-либо функции? А потом материт разработчика в маркете, т.к. программа не работает.
                                                                  Тут все просто — или разрешаешь и получаешь нормально весь функционал (если не получаешь — заслуженно материшь разработчика) или не разрешаешь, но тогда и программой пользоваться не можешь. На мой взгляд вполне разумно.
                                                                  А для желающих «перламутровых пуговиц» (например разрешить только доступ по Wi-Fi, но никак не через 3G, к примеру, есть всяческие DroidWall-ы и иже с ними.
                                                                    +1
                                                                    А кто говорит, что юзер обязан расставлять галочки? Есть вполне конкретные, весьма опасные пермиссии, за которыми нужен контроль. Приложение-тудушка какая-нибудь ну совершенно никак не нуждается в операции отправки смс или просмотра списка контактов. И пользователь должен явно это знать, не просто видеть список пермиссий, на который никто не смотрит, а чтобы ему прямо писалось: ЭТО ПРИЛОЖЕНИЕ МОЖЕТ СЛАТЬ СМСКИ, В ТОМ ЧИСЛЕ ПЛАТНЫЕ, БУДЬТЕ ВНИМАТЕЛЬНЫ! Если он скачивает приложение, смысл которого в рассылании СМСок, этот текст его не напугает, а если скачивает какие-нибудь обои для десктопа…
                                                                      0
                                                                      Ему прямым текстом говорится о разрешениях, которые получит программа. Ему Ларри Пейдж лично должен из телефона вылезти и пальчиком погрозить?
                                                                      Если пользователь не читает список разрешений, то он и галочки все скопом поставит, какая разница?
                                                                        +1
                                                                        Одного «слать смс» или «ходить в интернет» явно мало, поскольку это может быть и заявленная функция, но за ней может маскироваться зловред. Нужно чтобы пользователя при каждой попытке (после того как он разрешил в принципе) спрашивало с полными данными типа «разрешить отправить смс на номер 1234 (нет в адресной книге!) с содержанием „100$“ и варианты ответов „да, разрешить сейчас“, „да, разрешить всегда отправлять на этот номер“, „да, разрешить отправлять любые“, „нет, сейчас не разрешать“, „нет и запретить этот номер“ и т. п.
                                                                          0
                                                                          Если смс можно отправить на контакт, то по идее нужен доступ к адресной книге, зловред просто добавляет свой контакт в адресную книгу и ПРОФИТ?
                                                                          Я имею в виду, что в любом случае идеально защищенной системы не получить и появление разного рода злобных программ — только вопрос популярности системы, дыру найдут.
                                                                          А усложнение системы настроек будет только отпугивать пользователей. Все-таки большинство пользователей мобильных телефонов (пусть даже и смартфонов) — не гики. Им особого интереса в 100500 пунктах настроек нет никакого.
                                                                          И это не говоря уже о том факте, что некоторые будут тыкать на «Разрешить» при любом запросе телефона. (Особенно учитывая тот факт, что при такой системе безопасности эти запросы будут сыпаться на каждый чих.)
                                                                            +1
                                                                            Read only доступ?

                                                                            А предлагаю я не закрыть дыры в технической системе, а техническими методами прикрыть дыры социальные.
                                                                              0
                                                                              Ага. Мало того, что давать или не давать, так еще и разбираться какой именно доступ нужен.
                                                                              А в комплекте к телефону еще курсы Google Certified Android User продавать? Мне кажется, что не совсем адекватный подход. Лучше уж детальный анализ со стороны маркета проводить и выкидывать все подозрительные приложения, как в том же Эппловском маркете.
                                                                      0
                                                                      Так разработчик должен это предусмотреть и выводить внятное сообщение «Вы пытаетесь выполнить действие, которое предусматривает отправку смс. Разрешите отправку смс приложению или не пользуйтесь этой функцией», а не «Error #1234» или недоступность функциональности.
                                                                0
                                                                Если будет тонкий тюнинг что и куда разрешать — то мне :) Например разрешу отправлять смски моим контактам без спроса, а вот на неизвестные номера только с подтверждением.
                                                                  0
                                                                  И появится приложения рассылающие спам по всему вашему списку контактов. Тут везде осторожность нужна.
                                                                    0
                                                                    Прекрасно. Осталось найти единомышленников и попросить авторов доработать функционал (правда возможно придется скинуться на зарплату автору).
                                                                    Пока функция нужна 0.001 проценту целевой аудитории шансов получить ее, прямо скажем, немного.
                                                                      0
                                                                      Скинуться на зарплату Гуглу?
                                                                        0
                                                                        Ну не весь же гугл разрабатывает андроид.
                                                                +3
                                                                В j2me была неплохая политика отправки смс, ява приложение не могло отправить если дополнительно не нажать «да».
                                                                А здесь они уходят тихо-мирно, для мошенников раздолье.
                                                                  +2
                                                                  Так же оно всегда спрашивало можно ли подключиться к интернету.
                                                                    0
                                                                    К инету можно выбрать один раз, для сесии, всегда.
                                                                    Да и на такие платные операции как смс я бы предпочел каждый раз предупреждение видеть.
                                                                    0
                                                                    Так то-же самое, но спрашивает при установке и потом не надоедает. Хотя юзверы по любому ткнут «да» не глядя, что там, что там.
                                                                    +6
                                                                    Представляете, я сегодня весь день ездил в метро, ходил по рынкам, терся с бомжами, ночевал в подворотне, сказал Ашоту сколько у меня денег, и что в итоге? У меня украли все деньги!
                                                                      0
                                                                      Может Гугл наконец сделает возможность при установке приложений безболезненно отрубать лишние права доступа. Многие приложения требующие при установке доступа к интернету и без интернета вполне неплохо себя чувствуют.
                                                                        +4
                                                                        Мне кажется в 90% случаев доступ к интернету требуется для рекламных банеров
                                                                          +1
                                                                          Не сделает.
                                                                            0
                                                                            Это очень сильно усложнит код самих приложений, поэтому не сделает.

                                                                            В кастомных прошивках такое есть. Мне кажется это не нужно совершенно. Если мне предлагают программу OVER 9000 NEW HI REZ HOT GIRLZZZZ, я просто не буду её ставить.
                                                                            0
                                                                            Я не понял, он не прячет свою иконку из списка всех приложений? Как-то это опрометчиво для вируса. Мда, и смысл мне бояться рутовать девайс, если вирьё всё равно втихаря получает root для себя.
                                                                              0
                                                                              Вообще боятся рутовать девайс не следует. В этом нет ничего страшного. Это ж не отладка бутлоадера.
                                                                              +4
                                                                              Китайский вирус хорошо замаскировался в списке приложений и ничто не выдавало его:
                                                                              Ни значок, копирующий иконку настроек, ни странное имя, написанное иероглифами.

                                                                              Почти как Штирлиц.
                                                                                +1
                                                                                Ну так там китайский маркет.

                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                              Самое читаемое