Обзор Android-угроз за 2013 год от компании «Доктор Веб»
27 января 2014 года
Android-угрозы в 2013 году: общая статистика
Прошлогодние события в области информационной безопасности снова подтвердили, что операционная система Android окончательно укрепила за собой статус главной площадки по осуществлению незаконной деятельности киберпреступников на мобильном рынке. Свидетельством этого, в частности, является динамика пополнения вирусной базы компании «Доктор Веб»: число новых записей для вредоносных и нежелательных Android-приложений в 2013 году выросло на 1 547 единиц и достигло отметки в 2 814 вирусных описаний. Это на 122% больше, чем число записей на конец аналогичного периода 2012 года. Если же сравнивать текущие значения с показателями 2010 года – периода появления первых вредоносных приложений для ОС Android, – то они составили +9280%, продемонстрировав рост практически в 94 раза.
Динамика роста количества описаний Android-угроз в вирусной базе Dr.Web
в период с 2010 по 2013 год
Для сравнения: общее количество вирусных описаний угроз для других популярных мобильных платформ, таких как BlackBerry, Symbian OS, Java, iOS и Windows Mobile в конце 2013 года равнялось 1600 записям, что в 1,76 раза меньше этого же показателя для Android-угроз.
Количество вирусных описаний для мобильных угроз по состоянию на 2013 год
Существенно увеличилось число новых семейств вредоносных и потенциально опасных программ для ОС Android: рост составил 185% от значений 2012 года, и общее их количество достигло 331.
Общее число семейств, принадлежащих к Android-угрозам
Если проанализировать текущий состав вирусной базы Dr.Web, то рейтинг наиболее многочисленных Android-угроз будет выглядеть следующим образом:
Наиболее многочисленные Android-угрозы согласно объему записей вирусной базы компании «Доктор Веб»
СМС-троянцы – все еще главная угроза
Согласно приведенной выше статистике, в 2013 году, как и прежде, безоговорочными «лидерами» среди всех вредоносных Android-приложений стали троянцы семейства
Динамика роста числа записей для вредоносных программ семейства
Данные троянцы могут распространяться как в виде самостоятельных программных пакетов, выдаваемых, например, за обновления или инсталляторы известных приложений, так и внутри легитимных программ, модифицированных злоумышленниками. Стоит отметить, что второй метод долгое время был и все еще остается наиболее популярным на территории Китая, о чем свидетельствует появление в 2013 году целого ряда очередных модификаций подобных СМС-троянцев, угрожавших китайским пользователям. Вместе с тем за последние 12 месяцев были обнаружены аналогичные вредоносные приложения, действовавшие, в частности, уже против вьетнамских владельцев Android-устройств. Это говорит о том, что такой способ распространения троянцев семейства
После запуска таких модифицированных программных пакетов пользователь получает ожидаемый функционал, в то время как нежелательные для него действия, такие как отправка СМС-сообщений, остаются незамеченными. Весьма вероятно, что в будущем данная методика не утратит своей актуальности, и география ее применения при распространении СМС-троянцев расширится.
Заметным событием, связанным с троянцами
Android.SmsBot – закономерная эволюция СМС-троянцев
В 2013 году пользователи Android-устройств столкнулись с ростом числа случаев распространения относительно новой угрозы, а именно троянцев семейства
Показательно, что на конец 2012 года вирусная база Dr.Web содержала лишь одну запись, относящуюся к вредоносным программам семейства
Число вирусных записей для троянцев семейства
Возрастание угрозы раскрытия конфиденциальной информации: банковские троянцы, кража персональных сведений и программы-шпионы
Остро вставшая в 2012 году проблема сохранности персональной информации пользователей мобильных Android-устройств получила дальнейшее развитие и в минувшем году: на протяжении последних двенадцати месяцев наблюдался значительный рост числа вредоносных программ, направленных на кражу тех или иных конфиденциальных сведений у владельцев смартфонов и планшетов под управлением ОС Android. Среди подобных угроз в первую очередь следует выделить большое количество новых банковских троянцев, к которым относятся вредоносные программы семейств
Если в 2012 году число подобных вредоносных приложений не превышало нескольких единиц, а масштабы их распространения ограничивались лишь небольшим списком стран, то в 2013 году ситуация кардинально изменилась: случаи атак с применением банковских троянцев были зафиксированы в России, Таиланде, Великобритании, Турции, Германии, Чехии, Португалии, Австралии, Южной Корее и других странах. При этом отдельного внимания заслуживает ситуация, которая связана с угрозой банковских вредоносных программ, действующих против южнокорейских пользователей: в этом регионе распространение данных троянцев в 2013 году фактически было поставлено на поток. За последние три месяца прошедшего года специалисты компании «Доктор Веб» зафиксировали 338 случаев распространения различных вариантов таких вредоносных приложений. Для этих целей злоумышленниками применяется рассылка нежелательных СМС-сообщений, содержащих ссылку на загрузку вредоносного apk-файла, а также имеющих сопроводительный текст, чаще всего говорящий о необходимости проверки статуса некоего почтового отправления или ознакомления с иной важной информацией. Динамика обнаружения таких случаев проиллюстрирована на диаграмме ниже.
Выявленные случаи распространения банковских троянцев для ОС Android среди пользователей Южной Кореи
Чаще всего южнокорейские пользователи сталкивались с риском загрузки таких троянцев-шпионов как
Android-угрозы, распространявшиеся среди южнокорейских пользователей за последние 3 месяца 2013 года
Объем прочих троянских программ, крадущих различную информацию пользователей, также существенно вырос: в 2013 году в вирусную базу Dr.Web было внесено множество подобных вредоносных приложений. Среди них – Android.Phil.1.origin, Android.MailSteal.2.origin, Android.ContactSteal.1.origin, несколько модификаций троянцев семейств
Попали в поле зрение специалистов и потенциально опасные коммерческие шпионские программы, позволяющие осуществлять негласный контроль активности пользователей Android-устройств. В минувшем году были обнаружены новые версии такого популярного ПО для мониторинга как
Угрозы в каталоге приложений Google Play
Несмотря на то, что официальный каталог приложений ОС Android – Google Play – считается одним из самых безопасных источников программного обеспечения для мобильных Android-устройств, он по-прежнему не может гарантировать стопроцентного отсутствия в нем вредоносных или потенциально опасных приложений. Подтверждением этому являются зафиксированные в 2013 году случаи появления в нем ряда угроз.
Например, в апреле был обнаружен целый ряд программ, содержащих вредоносный рекламный модуль Android.Androways.1.origin, который демонстрировал пользователям рекламу, приводящую к загрузке троянских программ. Данный модуль был создан злоумышленниками под видом вполне обычной рекламной системы, демонстрирующей разнообразные информационные сообщения и позволяющей создателям игр и приложений зарабатывать на своих программных продуктах, интегрируя в них данный модуль. Как и многие легальные рекламные платформы, Android.Androways.1.origin был способен демонстрировать push-уведомления, выводимые в панель состояния операционной системы, однако в этих сообщениях могли отображаться заведомо ложные предупреждения о необходимости загрузки обновлений для тех или иных программ. Согласившись на загрузку такого «обновления» пользователи подвергались риску стать жертвой мошенников, установив одного из троянцев семейства
Кроме того, троянский рекламный модуль Android.Androways.1.origin мог выполнять команды, поступающие с удаленного сервера, а также загружать на него конфиденциальную информацию, такую как номер сотового телефона, код оператора и IMEI мобильного устройства. Общее число пострадавших от него пользователей могло превысить 5,3 миллиона человек, что стало одним из крупнейших случаев заражения Android-устройств вредоносными приложениями, которые распространялись с использованием каталога Google Play за все время его существования.
Летом 2013 года специалистами компании «Доктор Веб» было выявлено несколько приложений от вьетнамского разработчика, которые позиционировались им как мультимедийные проигрыватели, однако на самом деле являлись троянцами-носителями, содержащими вредоносные программы семейства
При запуске вредоносные приложения предлагали пользователям получить доступ к запрошенному контенту, после чего извлекали скрытых троянцев и начинали процесс их установки. В дальнейшем проинсталлированные СМС-троянцы, получившие по классификации компании «Доктор Веб» имена
А в декабре было выявлено 48 программ, представлявших собой сборники изображений, суммарное число загрузок которых превысило 12 тысяч. После запуска эти приложения работали должным образом, однако помимо задекларированных возможностей они скрытно передавали на удаленный сервер информацию о номерах мобильных телефонов жертв. Интересной особенностью указанных троянцев, внесенных в вирусную базу Dr.Web как
Помимо этого, в декабре было обнаружено еще две угрозы, размещенные в каталоге Google Play. Ими стали троянец Android.WhatsappSpy.1.origin, а также потенциально опасная программа Program.Bazuc.1.origin.
Первая угроза представляла собой простое игровое приложение, которое незаметно для пользователей Android-устройств загружало на сервер разработчика троянца базу данных, содержащих сохраненные сообщения мессенджера WhatsApp для ОС Android. Кроме того, вредоносная программа передавала на сервер изображения, а также номер телефона, связанные с учетной записью клиента сервиса. В дальнейшем любой желающий мог получить доступ к переписке интересующего его пользователя, введя на веб-сайте автора Android.WhatsappSpy.1.origin соответствующий мобильный номер. Несмотря на то, что данное приложение позиционировалось как безобидное средство создания резервной копии переписки из программы WhatsApp, потенциальный риск его недобросовестного использования вынудил корпорацию Google удалить эту программу из каталога Google Play. Тем не менее она доступна для загрузки с официального сайта ее разработчика, поэтому многие пользователи все еще рискуют стать жертвами шпионажа со стороны злоумышленников.
Второе опасное приложение под названием Bazuc позволяло пользователям зарабатывать на предоставлении ему доступа к отправке рекламных и информационных СМС-сообщений со своего мобильного номера. По замыслу разработчика
Эти и другие случаи в очередной раз показывают, что, несмотря на усилия корпорации Google по обеспечению безопасности официального каталога Android-приложений, он все еще может содержать самые разнообразные угрозы, поэтому пользователи Android-устройств должны проявлять осторожность при установке малоизвестных или вызывающих подозрение программ.
Уязвимости операционной системы
Улучшения, вносимые в операционную систему Android от версии к версии, увеличивают ее надежность и безопасность, однако время от времени в ней все же обнаруживаются те или иные уязвимости, позволяющие киберпреступникам проводить различные атаки, в том числе с применением вредоносных программ. И если в 2012 году не было зафиксировано появление критических уязвимостей или сколь-нибудь серьезных инцидентов с участием использующих их троянских приложений, то за последние 12 месяцев было выявлено сразу несколько программных ошибок, которые могли позволить злоумышленникам обойти встроенные механизмы защиты платформы Android и увеличить эффективность распространения Android-троянцев. В частности, наиболее заметные уязвимости, получившие название Master Key (#8219321), Extra Field (#9695860) и Name Length Field (#9950697), позволяли выполнить модификацию программных пакетов таким образом, что при внесении в них вредоносного функционала целостность их криптографической подписи не нарушалась, и во время установки они рассматривались ОС Android как немодифицированные.
Примечательно, что найденные ошибки основывались на некорректных методах интерпретации и обработки операционной системой определенных особенностей формата zip-файлов – архивных пакетов, составляющих основу для Android-приложений и содержащих все их компоненты. В случае с Master Key это выражалось в возможности разместить внутри apk-файла (zip-архива, имеющего расширение «.apk») двух файловых объектов, имеющих одинаковое имя и располагающихся в одном подкаталоге. В результате во время установки измененного таким образом приложения система безопасности Android игнорировала исходный файл и принимала внедренный дубликат за оригинал. Ярким примером использования данной уязвимости на практике служит троянец Android.Nimefas.1.origin, обнаруженный специалистами компании «Доктор Веб» в июле. Эта вредоносная программа представляла собой комплексную угрозу, направленную, в первую очередь, против китайских пользователей и способную выполнять поступающие от злоумышленников команды (например, осуществлять рассылку СМС или перехватывать входящие короткие сообщения, получать информацию о мобильном устройстве, контактах из телефонной книги пользователя и т. п.).
Вторая уязвимость – Extra Field – теоретически также позволяла внедрять в Android-приложения троянский функционал, для чего требовалась некоторая модификация структуры zip-архива: при добавлении в его служебное поле значения одного из оригинальных компонентов программы (в частности файла classes.dex) без трех первых байт с одновременным размещением на его месте модифицированной версии этого файла, последняя воспринималась операционной системой как легитимная и допускалась к установке. Несмотря на то, что потенциальное использование этой уязвимости ограничено размером dex-файла, который должен составлять не более 65533 байт, заинтересованные в атаке киберпреступники вполне могут без труда ей воспользоваться, взяв за основу безобидную программу или игру, имеющую соответствующего размера компонент.
Что же касается уязвимости Name Length Field, то для ее использования, как и в двух предыдущих случаях, аналогичным образом требуется внесение определенных изменений в структуру программного пакета, а также наличие внутри него двух файлов – исходного и модифицированного – имеющих одинаковое имя. Во время установки такого приложения оригинальный файл корректно считывается одним из компонентов ОС Android, однако в дальнейшем другой ее компонент обрабатывает только измененный файл, который ошибочно считается единственно верным.
Все apk-файлы, в которых используются эти и похожие программные ошибки, детектируются антивирусными средствами Dr.Web для Android как
Еще одной обнаруженной в 2013 году потенциально опасной особенностью ОС Android стала возможность установки apk-пакетов, имеющих в своей структуре искусственно внесенный указатель на присутствие пароля для zip-архива. Наличие этого указателя не препятствовало установке приложения на некоторых версиях операционной системы, однако затрудняло сканирование антивирусными средствами, которые корректно обрабатывали такой программный пакет как защищенный паролем, что делало невозможным обнаружение известных вредоносных приложений. В частности, эта методика была использована создателями троянца
Сокрытие вредоносной активности, противодействие анализу, обнаружению и удалению
В 2013 году значительно увеличилось число случаев применения вирусописателями специальных приемов, затрудняющих проведение анализа вредоносных Android-приложений, а также усложняющих процесс их обнаружения и удаления на мобильных устройствах. В частности, одной из наиболее распространенных методик самозащиты в Android-троянцах стало использование стандартной системной функции администратора устройства, когда приложению даются расширенные полномочия, такие как возможность управления блокировкой экрана, запроса пароля при выходе из ждущего режима и даже выполнение сброса параметров к заводским установкам с потерей всех имеющихся данных. Главной причиной, по которой данная опция в последнее время так полюбилась киберпреступникам, стало то, что попытка стандартным способом удалить входящую в список администраторов вредоносную программу приводит к ошибке.
И если в общем случае такая ситуация не является проблемой для опытных пользователей – троянца всего лишь необходимо лишить соответствующих полномочий – то множество менее подкованных в техническом плане владельцев Android-устройств сталкивается с затруднениями по очистке мобильного устройства от инфекции. Подобный метод защиты встречается, например, в ряде троянцев-шпионов, а также у некоторых СМС-троянцев.
Однако в ряде случаев простого отключения полномочий администратора может быть недостаточно: иногда создатели вредоносных Android-приложений идут еще дальше и вносят в их функционал контроль активности данного режима, и если пользователь пытается его отключить, «хитрые» троянцы предпринимают попытки не допустить этого. Например, они могут препятствовать открытию системных настроек или выводить запрос на получение нужных прав до тех пор, пока пользователь не согласится это сделать.
Наиболее же ярко применение такой самозащиты проявилось в обнаруженном в начале лета 2013 года семействе вредоносных программ Android.Obad, способных отправлять СМС-сообщения на премиум-номера, а также загружать на мобильное устройство другие вредоносные приложения. Эти троянцы использовали привилегии функции администратора мобильного устройства, контролировали ее активность и одновременно с этим эксплуатировали ошибку операционной системы, которая позволяла им скрывать свое присутствие в соответствующем списке и значительно затрудняла их удаление.
Еще одной проблемой безопасности пользователей мобильных устройств становится растущее распространение на рынке коммерческих систем для защиты Android-приложений от декомпиляции, взлома и модификации, т. к. подобные механизмы могут быть использованы не только разработчиками легитимных программ, но также и создателями троянских приложений. В минувшем году специалистами компании «Доктор Веб» было выявлено несколько случаев применения таких систем в составе Android-троянцев, к которым относятся, например, вредоносные программы
Антивирусные продукты Dr.Web для Android своевременно получают функциональные улучшения, необходимые для борьбы с угрозами, в которых применяется различные механизмы защиты, поэтому для пользователей компании «Доктор Веб» эти вредоносные программы не представляют опасности.
Поддельные антивирусы
За последние 12 месяцев существенно увеличилось количество новых представителей троянцев семейства
Киберкриминальные услуги: троянцы на заказ и специализированные хакерские утилиты
В 2013 году весьма активно продолжил развиваться рынок мобильных киберкриминальных услуг, начавший постепенно формироваться еще в позапрошлом году. В настоящее время одну из лидирующих позиций среди наиболее распространенных нелегальных сервисов занимает создание и продажа различных СМС-троянцев, принадлежащих к семействам
Однако более серьезную угрозу представляют появившиеся в 2013 году предложения по реализации банковских троянцев, нацеленных на пользователей целого ряда стран. Ярким примером такой теневой услуги является начавшаяся в январе продажа троянца под названием Perkele, способного имитировать внешний вид официальных приложений «банк-клиент» и красть конфиденциальную информацию пользователей – например, СМС-сообщения. Различные модификации этой вредоносной программы детектируются антивирусом Dr.Web как представители семейства
Благодаря ограниченным объемам продаж копий троянца, а также его возможности атаковать пользователей почти 70 крупнейших кредитных организаций мира, Perkele мог с успехом применяться для осуществления высокоэффективных таргетированных атак, в результате которых пострадавшие клиенты могли понести существенные финансовые потери.
Не менее привлекательными для интернет-преступников должны выглядеть сервисы, связанные с незаконным получением более широкого спектра конфиденциальных сведений пользователей мобильных Android-устройств. Хорошим примером этого может служить появление специализированных программ, позволяющих встраивать троянский функционал в любое Android-приложение или игру. В частности, в июле специалистами компании было зафиксировано два таких «продукта»:
Особенностью этих утилит является то, что они отличаются относительной легкостью и простотой использования, что ведет к возможности создания троянских Android-приложений людьми, весьма далекими от познаний в программировании. Это существенно расширяет круг их потенциальных пользователей, и, соответственно, жертв.
Интересные и необычные угрозы
Среди множества примитивных в плане функционала троянских приложений для ОС Android в 2013 году можно было встретить и несколько нестандартных вредоносных программ. Например, одна из модификаций троянца-шпиона
Весьма оригинальным можно считать индийского троянца Android.Biggboss, обнаруженного в марте. Эта вредоносная программа распространялась на различных сайтах-сборниках ПО в модифицированных злоумышленниками приложениях и, будучи установленной на мобильном устройстве, при запуске ОС демонстрировала диалоговое окно, в котором говорилось о получении важного сообщения из некоего отдела кадров. В случае согласия пользователя просмотреть это «сообщение» троянец загружал в браузере веб-страницу, содержащую обращение от отдела кадров мифической компании TATA India Limited, не имеющей никакого отношения к настоящей корпорации TATA. Наряду с заманчивым описанием потенциальной должности обращение содержало призыв перевести определенную денежную сумму на банковский счет мошенников с целью гарантировать кандидату получение вакантного места.
Источник: Доктор Веб