Новые угрозы для Android превращают гаджеты в инфицированных ботов

Новые угрозы для Android превращают гаджеты в инфицированных ботов

Обнаружены новые угрозы, превращающие Android-смартфоны в следящие устройства с множеством ошибок. Так, по данным исследователей из компании Bitdefender, одна из угроз исходит от ПО под названием Widdit, которое используют разработчики более 1000 приложений. Widdit включает в себя загрузчик, который в момент установки требует огромное количество ненужных ему привилегий.

«Эти привилегии необязательно используются в наборе ПО разработчика (software development kit, SDK), однако эти запросы гарантируют, что в дальнейшем любой компонент, введенный в SDK, будет работать из коробки, — отметил эксперт компании Bitdefender Влад Бордиану в блоге. – Среди таких привилегий мы обнаружили разрешение на отключение экрана блокировки, запись аудио, а также доступ к истории браузера и закладкам».

Приложения, использующие Widdit, также могут исполнять специальный код при перезагрузке устройства, получать текстовые сообщения или совершать звонки в момент установки или удаления приложения. Помимо этого, Widdit использует незашифрованный HTTP-канал для загрузки обновлений, что, по мнению специалистов, позволяет злоумышленникам заменять легитимные обновления вредоносными файлами, а также осуществлять атаки человек-посередине.

На Android приходится 79% мобильных атак

На Android приходится 79% мобильных атак

Кирилл Токарев

79% всех вредоносных программ на мобильных телефонах в 2012 году были замечены на устройствах под управлением Google Android. Об этом сообщает вебсайт Public Intelligence, ссылающийся на информационные сообщения от ФБР и Министерства национальной безопасности США. Эти послания предназначаются для американской полиции и медицинского персонала. Операционная система Nokia Symbian заняла второе место по количеству зарегистрированных вредоносных атак.

Android остается самой популярной мобильной системой в мире. Американские чиновники полагают, что распространенность ОС является главной причиной внимания хакеров к данной платформе. К тому же у Android открытый код, из-за чего подобраться к ней намного проще. Текстовые трояны отвечают за половину всех кибератак на Android. Кроме того взломщики часто используют специальные приложения, которые умеют отслеживать нажатия на клавиши пользователей, а также запускают поддельные вебсайты, напоминающие Google Play, для распространения вредоносных программ.

Исследователи уверяют, что 44% пользователей Android до сих пор используют старые версии систем 2.3.3-2.3.7 (Gingerbread), которые были выпущены в 2011 году. В них присутствует ряд уязвимостей, которые были закрыты в последующих релизах.

«Увеличение эксплуатации мобильных устройств федеральными работниками и представителями местных властей заставляет внимательней следить за мобильной безопасностью», – говорится в сообщении ФБР.

Устройства Apple остаются практически неуязвимыми для взломщиков: вредоносные программы встречаются на iOS-продуктах редко. Представители американской компании утверждают, что более чем 93% из огромной базы в 600 млн пользователей iPhone и iPad используют iOS 6 – самую современную версию ОС. Следующий вариант данной платформы будет представлен в сентябре.

В прошлом месяце компания Symantec сообщила об уязвимости, которая позволяла получить доступ к любому мобильному телефону на базе Android. К счастью, данную неполадку в итоге сумели закрыть.

Обзор российского рынка Android-зловредов

Обзор российского рынка Android-зловредов

На хакерской конференции Defcon большой интерес публики вызвала презентация компании Lookout Security, посвященная российскому рынку разработки Android-зловредов, которые отправляют SMS на платные номера. По мнению аналитиков, в России есть более десятка компаний (так называемые Malware HQ), которые специализируются на распространении таких зловредов. Эти «стартапы» работают практически открыто, через партнерские программы.

Десять крупнейших компаний контролируют более 60% рынка. Они обеспечивают логистику, менеджмент, предоставляют короткие номера SMS и легко конфигурируемую платформу для создания зловредов Android SMS. У каждой из них в управлении до 100 коротких номеров SMS.

Партнеры, в свою очередь, настраивают зловреды под свои нужды и распространяют через подконтрольные сайты, в твиттере и социальных сетях. Партнеры могут зарабатывать от $700 до $12000 в месяц, получая до 80-85% прибыли, генерируемой пользователями на платных SMS.

По мнению аналитиков, в России действуют несколько тысяч отдельных дистрибьюторов зловредов, на этот рынок работают десятки тысяч сайтов. Общий оборот индустрии, вероятно, оценивается в миллионы долларов.

Как и в обычных стартапах, над созданием зловредов трудятся группы профессиональных разработчиков, которые выпускают новые релизы через 1-2 недели.

ФБР способна удаленно включать микрофоны в смартфонах Android

ФБР способна удаленно включать микрофоны в смартфонах Android

Александр Панасенко

Федеральное бюро расследований (ФБР) использует хакерские инструменты для слежки за людьми, пользующимися современными средствами связи, сообщает Wall Street Journal со ссылкой на источники, знакомые с методами, которые использует бюро в своей деятельности. Речь идет о скрытой установке троянов и другого шпионского программного обеспечения на мобильные устройства и персональные компьютеры посредством вредоносных веб-ссылок и поддельных писем электронной почты — методов, широко применяемых хакерским сообществом.

При этом, по словам одного из источников, ФБР располагает технологиями, которые позволяют удаленно включать микрофон на смартфонах и планшетах под управлением операционной системы Android, а также на ноутбуках, и вести запись. Фактически это превращает в «жучок» устройство, которое человек всегда имеет при себе и пользуется повседневно, сообщает safe.cnews.ru.

Как правило, подобные методы ФБР использует для слежки за группами организованной преступности, людьми, занимающимися терроризмом и распространением детской порнографии. По отношению к хакерам данные методы не применяются, так как они могут легко раскрыть подобную слежку и в отместку выложить в открытый доступ применяемые инструменты.

По словам Марка Экенвилера (Mark Eckenwiler), юриста Perkins Coie, бывшего консультанта Министерства юстиции, для подобного рода деятельности ФБР необходимо получать постановление суда. Если же спецслужбы извлекают лишь техническую информацию, например, IP-адрес, необходимости в постановлении нет, так как фактически власти не касаются частной собственности наблюдаемого.

ФБР приобретает вредоносные приложения и другие хакерские инструменты у компаний, которые специализируются на их разработке. Бюро занимается данной деятельностью более 10 последних лет, но лишний раз старается не оглашать данную сторону своей работы, отмечает WSJ.

Например, в 2011 г. стало известно, что уязвимости на веб-сайтах бюро эксплуатирует с 2005 г. Данные уязвимости позволяют установить IP-адрес пользователя и получить информацию о его системе. В 2007 г. хакерские инструменты позволили вычислить злоумышленника, атаковавшего правительство большим количеством спамерских писем.

В 2001 г. правозащитные организации раскритиковали ФБР за установку на компьютер подозреваемого преступника кейлоггера. В конечном счете он был осужден.

Помимо приобретения инструментов, ФБР нанимает специалистов во взломе вычислительных систем, заявил бывший сотрудник отдела информатизации бюро. Он также добавил, что использование незаконных методов слежки является крайним вариантом, к которому власти прибегают, если другие методы не работают.

Новая публикация продолжает серию статей в СМИ, посвященных раскрытию деятельности американских спецслужб в кибер-пространстве. В конце июля стало известно, что ФБР и Агентство национальной безопасности регулярно требуют у провайдеров ключи для доступа к зашифрованному контенту, передаваемому между пользователями интернета и серверами.

В июне 2013 г. американские СМИ опубликовали статью о программе PRISM, в которой якобы участвуют множество известных компаний, предоставляя спецслужбам доступ к персональным данным своих клиентов. Сами компании эту информацию отрицают.

Уязвимость Android даёт возможность скрытно заражать приложения

Уязвимость Android даёт возможность скрытно заражать приложения

Александр Панасенко

Корпорация Symantec раскрывает информацию о новой уязвимости платформы Android, позволяющей злоумышленникам внедрять вредоносный код в легитимные приложения, не нарушая при этом их цифровую подпись. Теперь даже самые опытные пользователи не смогут однозначно сказать, заражено ли то или иное приложение.

Все Android-приложения должны иметь цифровую подпись, удостоверяющую неизменность кода разработчика. Помимо этого, в ОС Android используется система разрешений на уровне приложений, где для осуществления тех или иных операций приложение должно получить разрешение пользователя. Цифровая подпись подтверждает неизменность кода приложения и предоставленных ему прав.

Серьёзная уязвимость в ОС Android позволяет злоумышленникам спрятать вредоносный код внутри легитимных приложений и, используя предоставленные приложению права доступа, выполнять критически важные с точки зрения пользователя действия. Вся информация об этой уязвимости уже выложена в сеть, и воспользоваться ею очень просто.

Приёмы внедрения вредоносного кода в приложения уже какое-то время используются злоумышленниками. Однако до этого им приходилось менять и имя приложения, и издателя, а также подписывать заражённое приложение своей собственной цифровой подписью. Поэтому любой, кто внимательно приглядывался к программе, сразу мог заметить нелегитимность издателя. Теперь злоумышленникам нет нужды менять цифровую подпись – они могут заражать и использовать легитимные приложения, и при этом даже опытный пользователь не сможет однозначно сказать, что приложение было заражено.

Эксперты Symantec встроили технологию распознавания ситуаций использования данной уязвимости в систему Norton Mobile Insight, и, проверив более 4 000 000 приложений, пока ещё не выявили ни одного случая заражения. Однако было зафиксировано некоторое количество легитимных приложений, ведущих себя схожим образом. Это объясняется тем, что многие приложения создаются с помощью широко распространённых наборов инструментов, APK-файлы которых могут содержать данную уязвимость. К сожалению, 99% Android-устройств подвержены этой уязвимости, а подготовка и выпуск исправлений (если таковые вообще выпускаются), как правило, занимает у производителей некоторое время.

Пользователи Android-устройств могут защититься от заражённых приложений, использующих данную уязвимость, установив Norton Mobile Security, регулярные обновления которого обеспечивают надёжный уровень защиты от всех актуальных угроз.

Android сохраняет пароли WiFi открытым текстом в облаке?

Android сохраняет пароли WiFi открытым текстом в облаке?

Очень неприятный баг/фича обнаружен в операционной системе Android. Оказывается, процедура резервного копирования данных на облачном хостинге (опция «Back up my data») включает сохранение и паролей от WiFi-сетей, причем они якобы сохраняются открытым текстом, без шифрования (факт еще окончательно не подтвержден).

В каком-то смысле, это логично с точки зрения удобства пользователя. Подключив к своему Google-аккаунту новое устройство, сделав апгрейд смартфона или планшета ему не придется заново вводить пароли от всех WiFi-сетей, которые были у него на прошлом устройстве. Все установится автоматически.

Но с точки зрения информационной безопасности передавать пароли пользователя в открытом виде по публичным сетям на удаленный хостинг — это какое-то совершенно извращенное понимание безопасности. Зачем вообще тогда нужно такое резервное копирование? И зачем вообще тогда нужны пароли?

Учитывая, что Google владеет крупнейшей в мире базой частных хотспотов, включая их точные координаты и уровни сигнала, сохранение на серверах Google еще и паролей от этих хотспотов выглядит слегка неуместно.

Забавно после этого читать на сайте Google советы пользователям по безопасности WiFi: «Очень важно, чтобы вы подобрали уникальный пароль, с длинным сочетанием цифр, букв и символов, чтобы его сложно было угадать. Если у вас личная сеть, то можно записать пароль и держать в надежном месте, чтобы не потерять. Он может понадобиться, если приехали гости и хотят подключиться к интернету через домашнюю сеть. Точно так же, как вы бы не дали чужому человеку ключ от своего дома, пароль от WiFi следует сообщать только тем, кому вы доверяете».

Использование операционной системы Android подразумевает определенный уровень доверия Google, так что компания себе не противоречит.

Обнаружена опасная уязвимость в ОС Android

Обнаружена опасная уязвимость в ОС Android

Александр Панасенко

Исследовательская группа Bluebox Security Labs недавно обнаружила уязвимость в модели обеспечения безопасности Android, которая позволяет изменить код приложения .apk, не повреждая криптографическую подпись приложения. Таким образом можно превращать любое подписанное приложение в троянскую программу. Причем подмены абсолютно никто не заметит. Ни Play Market, ни телефон, ни пользователь.

Эта уязвимость присутствует начиная с версии Android 1.6 «Donut» или по-другому говоря на любом телефоне, купленном не позже 4 лет назад. Или это почти 900 миллионов девайсов. Злоумышленники в зависимости от типа приложения могут использовать уязвимость для хищения данных или для создания мобильного ботнета, пишет habrahabr.ru.

Для частных лиц и предприятий (вредоносное приложение может получить доступ к отдельным данным, или проникнуть в предприятия) опасность достаточно велика, тем более, если учесть, что приложения, разработанные производителями устройств (например, HTC, Samsung, Motorola, LG) или третьих лиц, которые работают в сотрудничестве с производителем устройства, имеют особые привилегии в Android.

Внедрение кода в приложение от производителя устройства может предоставить полный доступ к системе Android и всем установленным приложениям (или их данным). У приложения тогда будет возможность не только считывать произвольные данные приложения на устройстве (электронная почта, SMS-сообщения, документы, и т.д.), но и будет шанс получить доступ к сохраненным паролям. Причем это не помешает нормально функционировать телефону и управлять любой функцией (сделать произвольные телефонные вызовы, отправить произвольные SMS-сообщения, включить камеру и записать вызов). Наконец, можно создать целый ботнет.

Как это работает:

Все приложения Android имеют криптографические подписи, которые позволяют операционной системе Android определить и проверить — вмешались ли в код программы или нет. Когда приложение установлено, то для него создается песочница, Android записывает цифровую подпись этого приложения. Все последующие обновления для приложения должны соответствовать этой самой подписи, чтобы проверить, что оно от того же автора.

Уязвимость использует несоответствие, которое допускается при модификации приложения APK, при этом не повреждая криптографическую подпись приложения. Простыми словами, уязвимость позволяет обмануть Android и он будет думать, что приложение не было изменено.

В своей презентации Джефф расскажет о баге 8219321 в Android OS, о котором он сообщил в Google в феврале этого года, и об эксплойте, который работает практически на всех Android-устройствах, независимо от их возраста.

Снимок экрана демонстрирует, что Bluebox Security изменили приложение от производителя так, что теперь у них есть полный доступ к устройству. В данном случае компания изменила информацию о программном обеспечении устройства.

Злоумышленники могут использовать множество методов, чтобы распространить такие троянские приложения, включая отправку их по электронной почте, загружая их на сторонний Маркет, размещая их на любом веб-сайте. Некоторые из этих методов, особенно сторонние репозитории приложений, уже используются, чтобы распространить вредоносное программное обеспечение для Android. Используя Google Play, чтобы распространить приложение, которые было изменено, — не получится. Потому что Google обновил процесс записи приложения в Маркет, дабы блокировать приложения, которые содержат эту проблему.

Между прочим, Google был уведомлен относительно уязвимости еще в феврале, и компания поделилась информацией с их партнерами. И теперь партнерам нужно решить, когда выпустить обновление для устройств. Форристэл подтвердил, что одно устройство, Samsung S4, уже имеет заплатку, которая демонстрирует, что некоторые производители устройств уже начали выпускать патчи. Google еще не выпустил патч для своих Nexus устройств, но компания работает над этим.

Эксперт ЛК обнаружил сложнейший троян для Android

Эксперт ЛК обнаружил сложнейший троян для Android

Как сообщил эксперт «Лаборатории Касперского» Роман Унучек, в Сети обнаружен один из наиболее сложных троянов для Android, который использует уязвимость в мобильной прошивке и ведет себя так, как вирусы для Windows, скрывающие свое присутствие в системе.

Вредоносная программа, получившая название Backdoor.AndroidOS.Obad.a, способна отправлять SMS-сообщения на премиум-номера, а также позволяет запускать шпионское ПО, открывая фоновую shell-оболочку.

Набор команд позволяет трояну распространять файлы по Bluetooth. С сервера приходит адрес файла, который должен быть скачан на зараженное устройство. После скачивания файла по очередной команде с сервера вредоносное приложение определяет ближайшие устройства с включенным Bluetooth и пытается передать им загруженный файл.

Атакующие могут использовать этот код для кражи широкого диапазона данных, хранящихся на скомпрометированных устройствах, или для загрузки дополнительных вредоносных программ, причем код может подгружать дополнительные компоненты в том числе и через порт Bluetooth. Программа использует стойкий алгоритм шифрования и скрытия кода для затруднения анализа.

По словам эксперта ЛК, злоумышленники эксплуатируют уязвимость в популярной программе dex2jar, которая обычно используется аналитиками для конвертирования APK-файла в более удобный для работы формат JavaArchive (JAR). Брешь нарушает процесс конвертации Dalvik байт-кода в Java байт-код, что в итоге затрудняет статический анализ трояна.

Помимо этого, создатели вируса обнаружили ошибку в ОС Android, которая позволяет вредоносному приложению пользоваться расширенными правами DeviceAdministrator, но при этом отсутствовать в списке приложений, обладающих такими правами. В результате удалить со смартфона вредоносную программу, получившую расширенные права, невозможно. Более того, Backdoor.AndroidOS.Obad.a не имеет интерфейса и работает в фоновом режиме.

Новый банковский троян для Android распространяют посредством SMS-фишинга

Новый банковский троян для Android распространяют посредством SMS-фишинга

Специалисты компании McAfee Labs обнаружили новый банковский троян для мобильной операционной системы Android, идентифицированный специалистами McAfee как Android/FakeBankDropper.A и Android/FakeBank.A.

Вредоносная программа, действующая в основном на территории Южной Кореи, заменяет легитимные программы мобильного банкинга, предоставляемые своим клиентам местными банками.

По данным экспертов, вредонос распространяется посредством SMS-фишинга. Как правило, на мобильное устройство жертвы приходит поддельное SMS-сообщение, отправителем которого якобы является Комиссия по регулированию рынка финансовых услуг (Financial Services Commission). В сообщении содержится просьба установить на устройство новое приложение для защиты от вредоносных программ.

В данном SMS-сообщении также содержится ссылка, перейдя по которой жертва может загрузить и установить приложение. Попадая на устройство жертвы, вредоносное приложение пытается удалить легитимное приложение мобильного банкинга. В случае неудачи, оно выводит на экран устройства уведомление с просьбой удалить легитимное приложение вручную. После этого вредонос вновь выводит на экран инфицированного устройства сообщение с просьбой установить другое приложение.

Визуально это приложение мало чем отличается от легитимного, но при этом ведет себя крайне подозрительно, пытаясь выведать у жертвы конфиденциальную информацию. В частности, троян просит пользователей инфицированных устройств ввести банковские реквизиты, номер счета, пароль, идентификатор в системе интернет-банкинга, номер социального страхования.

Всю полученную информацию вредоносная программа пересылает на удаленный сервер, контролируемый злоумышленниками.

Android-троян похищает SMS-сообщения

Android-троян похищает SMS-сообщения

Эксперты по безопасности компании Dr. Web обнаружили новую вредоносную программу для платформы Android, способную перехватывать входящие SMS-сообщения и перенаправлять их злоумышленникам.

Данный вирус является вторым известным представителем семейства Android.Pincer – обновленное вредоносное ПО распространяется под видом сертификата безопасности, который якобы требуется установить на мобильное Android-устройство.

В случае инсталяции вредоносной программы, Android.Pincer.2.origin отобразит ложное сообщение об успешной установке сертификата, после чего некоторое время будет неактивным.

     

Для того чтобы загружаться с ОС, вирус регистрирует CheckCommandServices — системный сервис, который в дальнейшем работает в качестве фоновой службы.

После удачного включения зараженного мобильного устройства вирус подключается к удаленному серверу злоумышленников и загружает на него ряд сведений о мобильном устройстве, среди которых название модели, серийный номер устройства, IMEI-идентификатор, название используемого оператора связи, номер сотового телефона, язык, использующийся по умолчанию в системе и пр.

Для того чтобы совершить какие-либо действия, программа ожидает SMS-сообщения с текстом «command: [название команды]». В сообщении уже содержатся соответствующие указания. В Dr. Web утверждают, что злоумышленники предусмотрели следующие директивы:

start_sms_forwarding [номер телефона] — начать перехват сообщений с указанного номера;

stop_sms_forwarding — завершить перехват сообщений;

send_sms [номер телефона и текст] — отправить СМС с указанными параметрами;

simple_execute_ussd — выполнить USSD-запрос;

stop_program — прекратить работу;

show_message — вывести сообщение на экран мобильного устройства;

set_urls — изменить адрес управляющего сервера;

ping — отправить СМС с текстом pong на заранее указанный номер;

set_sms_number — изменить номер, на который уходит сообщение с текстом pong.