Поговорим о вирусах, троянах и программах-вымогателей для платформы Android.
Для начала - что нам нужно знать о вирусах? Не все из них вирусы в исконном значении этого слова. Так нередко случается в живом-разговорном, орнитологи различают филинов, сычей и сов, но в народе все эти птицы - совы. Специалисты отличают "хакеров" от "чайников", но для неспециалистов все эти категории людей - "хакеры".
Со зловредными приложениями такая картина - технически они подразделяются на вирусы, черви, трояны, adware (навязчивую рекламу) и "страшилки", но почти никого не заботят такие тонкости. Мол, вирусы - они и есть вирусы.
Теперь о особенностях этих "не хороших" программок:
Вирус, это зловредная программа, которая незаметно проникает на компьютер, благодаря уязвимости системы. И, что самое важное - не занимается вредительством самостоятельно, а заражает другие файлы в системе. Такой "зловред" в случае с Android, должен был бы проникать в устройство, после банального клика на рекламу или посещения сайта, а потом переписывать под себя Gmail, ВКонтакте и другие приложения таким образом, чтобы после удаления оригинального вируса заражённые приложения продолжали выполнять свои "грязные функции". Вирусы, дающие возможность получить root-права. В момент, когда смартфон подвергается заражению этим вирусом, злоумышленники получают права администрирования. С этого момента им доступны любые удаленные действия с устройством: отправка SMS от имени пользователя, совершение звонков, управление работой девайса, установка софта, все коды доступа, пароли и так далее. Подслушивающие вирусы, такого рода ПО призвано записывать все телефонные разговоры пользователя, некоторые подвиды настроены выборочно вылавливать из этих разговоров важную информацию: номера телефонов, банковских счетов и кредитных карт, логины, пароли и прочую конфиденциальную информацию.
Червь делает своё плохое дело, и жёстко, беспощадно, всеми возможностями распространяет самого себя по всем каналам связи. На компьютерах черви рассылали себя по e-mail, мессенджерам, локальной сети, флешкам - то есть, клонировали себя самым бесстыжим образом.
Троян никогда не стучится в систему извне. Вы устанавливаете и запускаете зловредную программу собственноручно. Так происходит, потому что трояны подменяют рядовые, привычные и известные всем приложения, а иногда их просто "пришивают" к вполне работоспособным программам. То есть, покупаете или скачиваете полезную программу, и плюс - получаете вредоносную "бяку" в подарок.
Рассылка платных СМС-сообщений. Они в свое время были очень популярны на сайтах файлообменников, содержащих бесплатные приложения. Как только владелец устройства скачивает программу, с его номера автоматически начинают отправляться сообщения на платные короткие номера. Либо, как вариант, автоматически оформляются подписки на некий несуществующий контент, за мнимое пользование которым обладатель девайса платит от 20 до 60 руб. ежесуточно. Как правило, пока причина стремительной потери средств будет установлена, пользователь успеет потерять приличную сумму.
Страшилки (scareware) - это приложения наводящие панику; "О божечки, да у вас весь смартфон в вирусах и приложениях для прослушки спецслужбами всего мира! Скачайте наш антивирус и узнайте всю правду!". Вы скачиваете, запускаете и проводите так называемую проверку, после которой программа информирует вас - "Ужасающее количество вирусов в системе! Ваш телефон умрёт, если не удалить вирусы, но для этого вы должны ввести данные своей банковской карты здесь и вот здесь". Такую прелесть зачастую игнорируют все антивирусы, потому что она ничего не взламывает и не ворует в системе. Она просто обманывает покупателя и просит денег.
Большинство зловредных приложений для Android представляют собой трояны. И, сколько бы энтузиасты не хихикали, вероятность подхватить троян на смартфоне далеко не нулевая. Потому что Google Play, если честно, не всегда проверяет исполняемый код приложений, да и порядочность софта и игр из "неизвестных источников", тоже никак не гарантируется.
А к "неизвестным источникам" не всегда прибегают по глупости. Там можно найти облегчённые версии мессенджеров WhatsApp, Viber, Skype, которые занимают меньше места в памяти и работают быстро даже на старых смартфонах. Или перепакованные банковские клиенты, которые не будут ругаться на Cyanogenmod вместо официальной прошивки. А еще из Google Play периодически удаляют эмуляторы консолей, позволяющие сыграть, например, в Gran Turismo на Android. В конце-концов, в этом "магазе" есть не всё!
Ладно, перейдём к последним новостям в этой "сфере":
1) Специалисты по кибербезопасности из компании RiskIQ обнаружили вредное приложение для операционной системы Android, похищающее личные данные пользователей.
Программа под названием Advanced Battery Saver обещает клиентам помощь в сохранении заряда устройства.
Однако, помимо указанной функции, она также имеет ряд скрытых механизмов, о которых пользователи даже и не подозревают.
Приложение получает доступ ко всем данным устройства, включая геолокацию, личную информацию, параметры устройства, журнал звонков и sms-сообщений. Оно может самостоятельно изменять настройки и считывать интернет-трафик. Также программа самовольно демонстрирует владельцу гаджета всплывающие рекламные объявления. Встроенный в алгоритм кликер крадет совокупность данных о модели устройства, марке производителя и номере IMEI.
При этом само приложение действительно выполняет заявленные функции, такие как мониторинг состояния батареи и принудительное завершение энергоемких процессов. Распространяется программа через официальный магазин Google Play. Ничего себе "официальный" магазин Google, как вам это?
Исследователи компании следят за деятельностью недобросовестного разработчика, ставшего автором этого приложения. На данный момент известно, что он написал еще один код, опубликованный в магазине, однако сейчас эта программа вроде удалена...
2) Группа мошенников AsiaHitGroup, выпустили в этом году уже третью волну мошеннических приложений в Google Play (эх, куда-ж всё-таки катится Google ?). На этот раз хакеры использовали фоновые (и не видимые пользователю) push-уведомления, чтобы подписать "жертву" на премиальную мобильную подписку.
Атака была раскрыта экспертами компании McAfee, которые выявили в Google Play вредоносную программку Sonvpay. Вредоносное ПО скрывалось под видом 15 различных приложений, которые представляли собой разные инструменты, начиная от мобильной точки доступа Wi-Fi до сканера QR-кода. McAfee полагает, что суммарно вредоносные приложения были загружены на смартфоны около 50 000 раз и, возможно, AsiaHitGroup смогла заработать на них до 145 000 долларов США.
Атака нацелена на Россию, Таиланд и Малайзию, на пользователей из других стран она не распространяется. Сейчас вредоносное ПО удалено из магазина, однако в McAfee отметили, что этот "троян", недавно вновь появлялся там, под видом рингтона песни Luis Fonsi и Daddy Yankee - Despacito ("сопли" и "лямур").
Отмечается, что зараженные приложения, скачанные из Google Play, были рабочими, однако функционал Sonvpay проявлялся в виде поддельной формы обновления.
Даже если жертва чувствовала подвох и не нажимала на единственную кнопку "пропустить", ее (жертву) все равно подписывали на платную на премиум-службу, используя WAP-биллинг и SMS-фрод. Это позволяет напрямую списывать деньги с мобильного счета, и при этом пользователи ничего не обнаружат в истории отправленных сообщений, на своём устройстве.
3) Недавно, эксперты из компании ThreatFabric , обнаружили новейшее вредоносное ПО для Android-а, которое включает в себя - банкер, кейлоггер и вымогатель . Его назвали MysteryBot. Оно использует тот же командный сервер что и LokiBot, что указывает на прочную связь между вредоносными программами и, вероятно, на одного разработчика. Однако MysteryBot куда совершенней собрата.
"Троянец" способен брать под контроль зараженные устройства, читать сообщения, собирать контактную информацию и многое другое. В нем были найдены также команды для кражи электронных писем и удаленного запуска приложений. Однако эти инструменты пока не активны, что указывает на то, что вредоносное ПО все еще находится на стадии разработки.
В отличие от большинства вредоносных программ для Android, которые в основном нацелены на старые версии ОС, MysteryBot прекрасно "общается" с Android 7 и 8.
Он использует экраны-оверлеи, которые выглядят как настоящие веб-сайты банков, но на самом деле их контролируют злоумышленники. Сообщается, что они заготовили "муляжи" самых разных банков по всему миру.
После активации на устройстве вредоносная программа выглядит как версия Adobe Flash Player. Исследователи пока не рассказали, как именно троянец попадает на устройство, но он умеет фиксировать все нажатые пользователем кнопки на виртуальной клавиатуре новаторским способом - по их расположению на экране относительно других.
Также встроенный вымогатель позволяет вредоносному ПО индивидуально шифровать файлы и хранить их в ZIP-архиве с паролем. После завершения шифрования, ПО обвиняет жертву в просмотре контента для взрослых и требует связаться со злоумышленниками по электронной почте, чтобы получить пароль.
На сегодняшний день, Android позиционируется как одна из наиболее популярных операционных систем - под ее управлением работает более 70% устройств по всему миру.
Причина в ее доступности. Производитель использует открытый код для "заточки" под многочисленные гаджеты и дает возможность самостоятельно изменить внешний вид оболочки, прошить смартфон, получить root-права и так далее.
Эти стремления к персонализации, в конечном итоге, были взяты на вооружение злоумышленниками, в результате чего на свет появилось огромное количество вредоносных программ, внедряющихся в открытый код передающих бразды правления устройством в чужие руки.
Для защиты от разнообразного вредоносного ПО, обладателям смартфонов на базе Android, следует отказаться от установки софта из непроверенных источников. А для защиты личных данных - пользоваться только известными антивирусами, вручную очищать кэш приложений, если и проверять систему на "мусор", то только "старыми - добрыми" и проверенными "чистильщиками".
Ставь палец вверх, если зачёт!
