Обзор Android-угроз в 2012 году: основные риски для пользователей

30 января 2013 года

С угрозами со стороны вредоносных программ ОС Android столкнулась практически с момента своего появления на рынке. И хотя многие пользователи поначалу восприняли этот факт скептически, постепенно их сомнения сменились обеспокоенностью за безопасность используемых мобильных устройств, так как число вредоносных приложений продолжало неуклонно расти. Прошедший 2012 год в этом плане не стал исключением. В этом обзоре мы рассмотрим наиболее интересные и заметные прошлогодние события, связанные с Android-угрозами.

СМС-троянцы

Троянцы семейства Android.SmsSend, появившиеся еще в 2010 году и быстро ставшие настоящей головной болью пользователей мобильных Android-устройств, по-прежнему являются наиболее распространенной и массовой угрозой для этой мобильной платформы. Эти вредоносные программы предназначены для отправки дорогостоящих СМС-сообщений и подписки абонентов на различные контент-услуги, что может повлечь за собой серьезные финансовые потери (при этом жертва даже не будет знать, что деньги списаны с ее счета). Чаще всего они распространяются под видом популярных игр и приложений, а также их обновлений, однако могут встречаться и другие каналы распространения.

Для создания большинства подобных программ не требуется особых знаний, большого количества времени и средств, а получаемая злоумышленниками прибыль от их использования многократно компенсирует все затраты.

Широкое распространение троянцев обусловлено хорошо развитой сетью партнерских программ, которые предлагают весьма выгодные условия оплаты всем своим участникам. Кроме того, летом 2012 года были зафиксированы многочисленные случаи взлома легитимных веб-сайтов, которые модифицировались злоумышленниками таким образом, что пользователи, посещающие их с мобильных устройств, перенаправлялись на мошеннические ресурсы, распространяющие эти вредоносные программы.

Именно благодаря относительной простоте, высокой окупаемости и эффективности применяемых методов распространения семейство Android.SmsSend доминировало в прошедшем году среди остальных вредоносных приложений.

Увеличение риска кражи конфиденциальной информации, негласный мониторинг и кибершпионаж

Учитывая возможности мобильных Android-устройств, а также принимая во внимание продолжающийся рост числа их пользователей, неудивительно, что проблема сохранности конфиденциальной информации становится все более ощутимой. Рискам в этой сфере подвержены все: как простые пользователи, так и представители коммерческого и государственного секторов. Ценные сведения, интересующие злоумышленников, могут быть самыми разнообразными.

Шпионы — пособники спамеров

Сами по себе вредоносные программы, шпионящие за пользователями и крадущие их конфиденциальную информацию, не уникальны и известны достаточно давно. Однако в 2012 году обозначилась четкая тенденция к появлению довольно специфической группы троянцев-шпионов, направленных против жителей Японии. Все они распространялись при помощи спам-писем, в которых пользователям предлагалось установить то или иное «полезное» приложение, начиная от эротической игры и заканчивая оптимизатором расхода аккумулятора.

К этой группе относятся такие вредоносные программы как Android.MailSteal.1.origin, Android.Maxbet.1.origin, Android.Loozfon.origin и Android.EmailSpy.origin. Их основная задача — похищение адресов электронной почты из книги контактов мобильного устройства и отправка их на удаленный сервер. Помимо этого, некоторые троянцы могут отправлять злоумышленникам не только адреса электронной почты, но и всю информацию из телефонной книги, а также идентификаторы устройства, включая номер сотового телефона. Добытая таким образом информация в дальнейшем может быть использована киберпреступниками для организации новых спам-кампаний и для продажи на черном рынке, а для владельцев похищенных адресов это несет потенциальную угрозу фишинг-атак и вероятность заражения их персональных компьютеров самыми разными вредоносными программами, использующими для инфицирования каналы электронной почты.

Узконаправленные атаки — угроза с повышенным риском

Узконаправленные, точечные или таргетированные атаки несут в себе серьезную угрозу, поскольку они, в отличие от большинства обычных атак, направлены не на максимально возможное число пользователей, а на их ограниченный круг, что снижает вероятность оперативного и эффективного обнаружения используемых при преступлении вредоносных программ.

Одним из вариантов точечной атаки является Advanced Persistent Threat или APT-атака. Ее суть заключается в том, чтобы вредоносная программа как можно дольше оставалась в скомпрометированной системе без обнаружения и получила при этом максимально возможный объем ценных сведений. Жертвами обычно становятся различные компании, организации и государственные структуры.

До сих пор под ударом подобных кампаний находились лишь «большие» компьютерные системы, такие как рабочие станции и серверы. Однако в 2012 году была зафиксирована новая APT-атака, в процессе изучения которой обнаружилась вредоносная программа Android.Luckycat.origin. Функционал троянца включал выполнение команд, поступающих с управляющего сервера, загрузка различных файлов с мобильного устройства и на него, сбор идентификационных данных и некоторые другие возможности.

Несмотря на то, что троянец находился в стадии разработки, и свидетельств его применения на практике не было, факт существования такого инструмента дает серьезное основание полагать, что мобильные Android-устройства в скором времени могут стать такой же привычной мишенью APT-атак, как и обычные компьютеры.

Еще одним инструментом проведения таргетированных атак с целью завладения конфиденциальной и ценной информацией стали мобильные банковские троянцы, крадущие одноразовые коды mTAN. Для обеспечения безопасности финансовых операций в сети Интернет банковские системы отправляют СМС-сообщения с этими кодами на привязанный к клиентскому счету номер мобильного телефона. Чтобы успешно завершить транзакцию, пользователь должен ввести в специальную веб-форму полученный код. Мобильные банковские троянцы предназначены для перехвата СМС-сообщений, кражи этих кодов и передачи их злоумышленникам, которые выполняют различные финансовые операции с электронными счетами ничего не подозревающих жертв (например, совершают онлайн-покупки).

Применение подобных вредоносных программ никогда не было массовым явлением, в том числе и для устройств под управлением Android. В 2012 году мы стали свидетелями появления лишь нескольких новых представителей этого класса троянцев, направленных на мобильную операционную систему от Google. Ими стали Android.SpyEye.2.origin, Android.Panda.2.origin, Android.SmsSpy.6.origin и Android.FakeSber.1.origin.

Типичный способ распространения таких вредоносных программ — социальная инженерия, когда пользователя вводят в заблуждение, предлагая срочное обновление операционной системы или установку некоего сертификата безопасности, необходимого для дальнейшего получения финансовых услуг. Несмотря на то, что случаи появления банковских троянцев для ОС Android являются редкими, проводимые с их помощью атаки весьма эффективны. Именно благодаря неширокой распространенности таких приложений и направленности на пользователей конкретных банковских систем снижается вероятность их быстрого обнаружения и обеспечения необходимой защиты от них.

Среди всех этих вредоносных программ стоит особо выделить Android.FakeSber.1.origin: он стал первым банковским Android-троянцем, направленным против клиентов российского банка. До его появления киберпреступников интересовали лишь зарубежные пользователи. Кроме того, в отличие от своих собратьев, распространяющихся при помощи мошеннических сайтов, данный троянец был помещен злоумышленниками непосредственно в официальный каталог приложений Google Play. К счастью, к моменту, когда троянец был удален из каталога, установить его успели немногие. Тем не менее, потенциальная опасность, которую он представлял, была весьма существенной.

Принцип, по которому работал Android.FakeSber.1.origin, был схож со схемами, применяемыми злоумышленниками в других банковских Android-троянцах. Во-первых, для того чтобы заставить пользователей выполнить его установку, была использована весьма распространенная тактика запугивания: на официальным веб-сайте банка посетителям демонстрировалось сообщение о необходимости авторизации при помощи мобильного телефона (это сообщение отображалось благодаря Windows-троянцу, заразившему компьютеры жертв и работавшему в связке с Android.FakeSber.1.origin). Пользователям предлагалось установить специальное приложение, которое на самом деле и было мобильным банковским троянцем. Во-вторых, попав на мобильное устройство, эта вредоносная программа имитировала ожидаемый функционал, усыпляя бдительность пользователя. В конечном итоге Android.FakeSber.1.origin скрытно перехватывал все входящие сообщения и пересылал полученные из них сведения на удаленный сервер, поэтому помимо mTAN-кодов в руках киберпреступников могли оказаться и другие конфиденциальные сведения, например, частная переписка.

Коммерческое шпионское ПО

Потенциальную угрозу сохранности персональной информации продолжают нести и различные виды коммерческого программного обеспечения для мониторинга и шпионажа. В 2012 году было обнаружено значительное число не только новых модификаций уже известных программ, но и новые представители этого класса приложений. Большинство подобных шпионов может использоваться как легально, с согласия владельца мобильного устройства, так и без его ведома. Для их установки обычно требуется физический доступ к мобильному устройству, однако после установки данные приложения способны скрывать свое присутствие в системе (например, не создавая иконку на главном экране, а также маскируясь под системное ПО). Наиболее распространенными функциями таких шпионов являются отслеживание СМС-сообщений, получение координат пользователя, перехват совершаемых им звонков, а также запись происходящего вокруг в аудиофайл.

Затруднение анализа, разделение функционала и активное противодействие удалению

Борьба с вредоносными Android-программами при помощи антивирусных средств и постепенное повышение компьютерной грамотности владельцев мобильных устройств на базе ОС от Google заставляет злоумышленников искать способы обхода возникающих трудностей. И если раньше троянцы представляли собой единственный программный пакет, содержащий весь вредоносный функционал, сейчас все чаще встречаются более сложные схемы их построения и работы.

Весьма интересным решением киберпреступников была своеобразная матрешка из трех вредоносных приложений, обнаруженных в мае 2012 года. Дроппер Android.MulDrop.origin.3 содержал в своих ресурсах зашифрованный пакет, который также являлся дроппером (Android.MulDrop.origin.4). Он, в свою очередь, имел в своих ресурсах еще один зашифрованный пакет, представляющий собой троянца-загрузчика Android.DownLoader.origin.2, способного получать с удаленного сервера список приложений для загрузки на мобильное устройство.

Для успешного функционирования разработанной схемы были необходимы root-привилегии, а так как основной дроппер находился в модифицированном злоумышленниками легитимном приложении, для работы которого требовался root-доступ, у пользователей не должно было возникнуть серьезных опасений в связи с необходимостью предоставления ему соответствующих прав. Примененный в данном случае механизм может быть весьма эффективным способом избежать лишних подозрений и увеличить шансы успешного заражения мобильного Android-устройства.

Другим примером разделения функционала между несколькими вредоносными приложениями являются троянцы Android.SmsSend.405.origin и Android.SmsSend.696.origin. Первый в различных модификациях распространялся в каталоге Google Play под видом сборника обоев для рабочего стола, доступ к которым пользователь мог получить, нажав кнопку «Далее». В этом случае приложение подключалось к облачному сервису Dropbox и загружало второй программный пакет, который являлся СМС-троянцем. По всей видимости, подобным переносом основного функционала во второе приложение, расположенное вне Google Play, злоумышленники пытались обойти систему Bouncer, которая контролирует каталог на предмет наличия вредоносных программ.

Весьма тревожит появление у вредоносных Android-приложений функционала по противодействию своему удалению. В мае 2012 года был обнаружен троянец Android.Relik.origin, который завершал работу популярных китайских антивирусных средств, а также запрашивал у пользователя доступ к режиму администратора мобильного устройства. В случае активации этого режима другие антивирусные программы уже не смогли бы удалить троянца, однако для избавления от этой вредоносной программы пользователю ничто не мешало убрать вредоносное приложение из списка администраторов.

Идея противодействия удалению в дальнейшем была значительно развита в другом китайском троянце, Android.SmsSend.186.origin. Практически сразу после установки он отображал требование предоставить ему права администратора мобильного устройства, причем в случае отказа требование выводилось вновь до тех пор, пока троянец не получал соответствующие права.

После получения троянцем необходимых прав попытки убрать его из списка администраторов мобильного устройства на некоторых версиях ОС Android заканчивались полным провалом, так как Android.SmsSend.186.origin препятствовал этому, не давая владельцу мобильного устройства зайти в необходимые системные настройки. Антивирусные средства, не располагающие функционалом по нейтрализации таких угроз, также не могли избавить систему от инфицирования, даже если и детектировали вредоносную программу. Самостоятельно же избавиться от троянца было весьма проблематично, поскольку это требовало выполнения ряда нетривиальных действий и определенной доли терпения. Ко всему прочему, эта вредоносная программа распространялась при помощи дроппера, помещенного киберпреступниками в «живые обои», которые при установке не требовали никаких специальных разрешений для своей работы. Таким образом, Android.SmsSend.186.origin представляет собой одну из самых серьезных за последнее время Android-угроз.

Нельзя не отметить тенденцию к росту использования авторами вредоносных программ обфускации кода, которая призвана затруднить анализ троянцев и помешать их детектированию антивирусными средствами. Например, обфускация встречается в целом ряде представителей семейства Android.SmsSend.

Интересные и необычные угрозы

Весьма интересной вредоносной программой, обнаруженной в 2012 году, стал троянец Android.MMarketPay.origin, который самостоятельно покупал приложения в электронном магазине китайского оператора связи China Mobile. Для этого он перехватывал СМС-сообщения с кодами подтверждения совершения покупки, а также обходил проверку captcha, отправляя на удаленный сервер соответствующие изображения для анализа. Целью создания этого троянца могло стать как желание недобросовестных разработчиков увеличить прибыль за счет подобной незаконной продажи своих приложений, так и обычное желание злоумышленников досадить пользователям и сотовому оператору, репутация которого могла заметно пострадать.

Рынок заказных услуг киберпреступников?

Не секрет, что большая часть современных вредоносных программ создается не из простого любопытства — эта сфера незаконной деятельности уже давно стала источником заработка для самых разнообразных групп киберпреступников. И появившихся в 2012 году Android-троянцев Android.Spambot.1.origin и Android.DDoS.1.origin вполне обоснованно можно отнести к инструментам осуществления киберкриминальных услуг. Android.Spambot.1.origin представлял собой троянца, предназначенного для массовой рассылки СМС-спама. Текст сообщений и номера, по которым осуществлялась рассылка, загружались с удаленного сервера, принадлежащего злоумышленникам, поэтому им не составляло большого труда выполнить спам-рассылку для заинтересованных лиц. Чтобы скрыть свою вредоносную деятельность, троянец удалял все сведения об отправляемых СМС, и владельцы инфицированных мобильных устройств могли не сразу обнаружить подозрительную активность. Что же касается Android.DDoS.1.origin, то это — вредоносная программа, предназначенная для осуществления DoS-атак с использованием мобильных Android-устройств. Параметры, необходимые для их проведения, троянец получал посредством СМС-сообщений, в которых указывались имя сервера и требуемый порт. Особенность этой вредоносной программы — в том, что атакуемый сайт мог быть абсолютно любым, поэтому теоретически воспользоваться возможностями этой вредоносной программы могли все, кто проявит должный интерес и заплатит соответствующую цену за оказание незаконной услуги.

Вандализм — редкая, но опасная угроза c деструктивным потенциалом

На фоне общей массы вредоносных Android-приложений, направленных на получение той или иной материальной выгоды, Android.Moghava, обнаруженный весной 2012 года, держится особняком, будучи троянцем-вандалом. Он распространялся в модифицированной злоумышленниками версии приложения — сборника рецептов иранской кухни. Через определенные промежутки времени троянец выполнял на мобильном устройстве поиск JPEG-изображений в каталоге /DCIM/Camera/ и накладывал на них еще одно изображение. В результате этого фотографии пользователя безвозвратно портились.

Обычно вирусописатели создают подобные вредоносные программы с целью громко заявить о себе, либо в качестве мести или простого развлечения. Более редкой причиной является попытка совершить диверсию среди определенной группы лиц. Так или иначе, ущерб от подобных приложений может быть весьма существенным.

Выводы

По состоянию на конец 2012 года вирусные базы Dr.Web содержали почти 1300 записей для Android-угроз. Их процентное распределение представлено на следующей диаграмме:

Следует учитывать тот факт, что специалисты компании проводят постоянную оптимизацию баз, поэтому число соответствующих вирусных записей может со временем уменьшаться.

С ростом популярности мобильных устройств под управлением ОС Android соответственно увеличивается число и разнообразие вредоносных приложений, представляющих опасность для пользователей этой платформы. Описанные выше типы угроз в 2012 году стали наиболее заметными, а также продемонстрировали потенциальный вектор развития вредоносных Android-программ в ближайшем будущем. Одновременно с этим могут появляться и вредоносные приложения, которые сочетают свойства самых разнообразных угроз или же являются «нестандартными» по сравнению с общей массой, что во многом повторяет ситуацию с Windows. Учитывая, что в ближайшие несколько лет мобильная платформа Android будет оставаться среди лидеров рынка, стоит ожидать дальнейшего роста числа созданных для нее вредоносных программ.