Троян для Android для слежки

Обновлено: 19.08.2022

Кампания по оказанию мобильных услуг премиум-класса заразила более 10 миллионов пользователей Android трояном GriftHorse.

Более 200 вредоносных приложений в игре

Обнаруженная Zimperium троянская операция GriftHorse использовала более 200 троянских приложений для пользователей Android по всему миру.

Большая часть этих троянских приложений использовала в качестве темы развлечения (12,7 %). Затем последовали персонализация, образ жизни и моделирование с 5,6 %, 5,6 % и 4,2 % соответственно.

После установки приложение GriftHorse начинало с отправки уведомлений на зараженное устройство не менее пяти раз в час. Кампания использовала это, чтобы привлечь внимание пользователя и побудить его использовать приложение.

В итоге троянская кампания использовала один из двух вариантов подписки жертвы на несколько платных и премиальных SMS-сервисов.

В первой версии пользователю требовалось нажать кнопку "Продолжить" или "Нажать". При этом жертве отправляется текстовое SMS-сообщение с подпиской на эти услуги.

Второй вариант выполнял ту же функцию, что и первый. Однако для этого требовалось, чтобы жертва ввела свой номер телефона и зарегистрировала его на сервере, прежде чем завершить подписку. В общей сложности операторы троянца запустили эту аферу на более чем 10 миллионах пользователей Android в более чем 70 странах.

Многие из этих троянских приложений взимали со своих жертв более 30 евро (35 долларов США) в месяц. Компания Zimperium определила, что злоумышленники использовали Google Play Store и сторонние службы приложений для распространения вредоносного ПО.

Охранная фирма сообщила о кампании в Google, чьи исследователи отреагировали, удалив зараженные троянами приложения из Play Маркета. Однако на момент написания статьи некоторые приложения все еще находились в сторонних магазинах приложений.

Похожие троянские атаки на Android

GriftHorse — не единственное вредоносное ПО для Android, пытающееся заманить жертв в платные и премиальные подписки на SMS.

Например, в апреле 2021 года компания «Доктор Веб» обнаружила первое вредоносное ПО в AppGallery, официальном магазине приложений для устройств Huawei на базе Android. Угроза оказалась разновидностью вредоносного трояна Joker, который использовал 10 своих версий для подписки жертв на мобильные услуги премиум-класса.

Несколько месяцев спустя исследователь безопасности Лукас Стефанко обнаружил еще одну версию вредоносного троянца Joker. В нем использовался сериал Netflix «Squid Game» в качестве приманки для жертв мошенничества с рекламой и нежелательных подписок на SMS.

Примерно через месяц компания Avast обнаружила кампанию UltimaSMS. Для этого использовалось 151 приложение из Google Play Маркета для регистрации жертв в премиальных SMS-сервисах.

Как защититься от троянских атак, таких как GriftHorse

Организации могут защититься от троянских атак на мобильные устройства, инвестируя в свое обучение по вопросам безопасности. В частности, они могут создавать модули, обучающие своих сотрудников загружать приложения от доверенных разработчиков только в официальных магазинах. Они могут использовать тот же тренинг, чтобы научить сотрудников некоторым явным признакам кампании мобильных услуг премиум-класса, таким как постоянные уведомления и подозрительные регулярные списания средств с платежной карты.

Исследователи кибербезопасности из ThreatFabric подробно рассказали, как банковские трояны для Android, похищающие пароли, маскировались под считыватели QR-кодов, фитнес-мониторы, криптовалютные приложения и многое другое.

Дэнни Палмер – старший репортер ZDNet. Живя в Лондоне, он пишет о таких проблемах, как кибербезопасность, хакерские атаки и вредоносные программы.


Более 300 000 пользователей смартфонов Android загрузили то, что оказалось банковскими троянскими программами, после того, как они стали жертвами вредоносных программ, которые не обнаруживаются в магазине приложений Google Play.

По подробным данным исследователей кибербезопасности из ThreatFabric, четыре различных формы вредоносных программ доставляются жертвам через вредоносные версии часто загружаемых приложений, включая сканеры документов, считыватели QR-кодов, фитнес-мониторы и криптовалютные приложения. Приложения часто поставляются с рекламируемыми функциями, чтобы пользователи не вызывали подозрений.

ZDNet рекомендует

В каждом случае злонамеренное намерение приложения скрыто, и процесс доставки вредоносного ПО начинается только после установки приложения, что позволяет им обходить обнаружение Play Store.

Самым многочисленным из четырех семейств вредоносного ПО является Anatsa, которое было установлено более чем 200 000 пользователей Android. Исследователи описывают его как «продвинутый» банковский троян, который может похищать имена пользователей и пароли и использует журнал специальных возможностей для захвата всего, что отображается на экран пользователя, а кейлоггер позволяет злоумышленникам записывать всю информацию, введенную в телефон.

Вредоносная программа Anasta была активна с января, но, по-видимому, с июня она значительно активизировалась: исследователи смогли выявить шесть различных вредоносных приложений, предназначенных для доставки вредоносного ПО. К ним относятся приложения, выдающие себя за сканеры QR-кода, PDF-сканеры и криптовалютные приложения, которые доставляют вредоносное ПО.

Одним из таких приложений является сканер QR-кода, который был установлен только 50 000 пользователей, а на странице загрузки есть большое количество положительных отзывов, что может побудить людей загрузить приложение. Пользователи перенаправляются в приложения с помощью фишинговых писем или вредоносных рекламных кампаний.

После первоначальной загрузки пользователи вынуждены обновлять приложение, чтобы продолжить его использование. Это обновление подключается к серверу управления и загружает полезную нагрузку Anatsa на устройство, предоставляя злоумышленникам средства для кражи банковских реквизитов и другая информация.

Вторым по распространенности семейством вредоносного ПО, описанным исследователями ThreatFabric, является Alien – банковский троян для Android, который также может похищать возможности двухфакторной аутентификации и действует уже более года. Это вредоносное ПО было установлено 95 000 раз через вредоносные приложения в Play Маркете.

Одним из них является приложение для тренажерного зала и фитнес-тренировок, которое поставляется со вспомогательным веб-сайтом, предназначенным для повышения легитимности, но при внимательном рассмотрении сайта обнаруживается текст-заполнитель повсюду. Этот веб-сайт также служит центром управления вредоносным ПО Alien.

Как и у Anasta, первоначальная загрузка не содержит вредоносных программ, но пользователей просят установить поддельное обновление, замаскированное под пакет новых фитнес-режимов, которое распространяет полезную нагрузку.

Двумя другими формами вредоносных программ, которые были удалены с помощью аналогичных методов в последние месяцы, являются Hydra и Ermac, которые в общей сложности загрузили не менее 15 000 раз. ThreatFabric связал Hydra и Ermac с Brunhilda, группой киберпреступников, которая, как известно, нацелена на Android-устройства с помощью банковского вредоносного ПО. И Hydra, и Ermac предоставляют злоумышленникам доступ к устройству, необходимому для кражи банковской информации.

ThreatFabric сообщила обо всех вредоносных приложениях в Google, а представитель Google подтвердил ZDNet, что приложения, упомянутые в отчете, были удалены из Play Store. Киберпреступники будут постоянно пытаться найти способы обойти средства защиты для доставки мобильного вредоносного ПО, которое становится все более привлекательным для киберпреступников.

"Эхо-система банковского вредоносного ПО для Android быстро развивается. Те цифры, которые мы наблюдаем сейчас, являются результатом медленного, но неизбежного смещения акцента с преступников на мобильную среду. Учитывая это, Google Play Store самая привлекательная платформа для распространения вредоносного ПО", — сказал ZDNet Дарио Дурандо, специалист по вредоносным программам для мобильных устройств в ThreatFabric.

Убедительный характер вредоносных приложений означает, что их может быть трудно идентифицировать как потенциальную угрозу, но есть шаги, которые пользователи могут предпринять, чтобы избежать заражения

"Хорошее эмпирическое правило — всегда проверять обновления и всегда быть очень осторожным, прежде чем предоставлять привилегии службам специальных возможностей, которые будут запрошены вредоносной полезной нагрузкой после установки "обновления", и опасаться приложений, запрашивающих установку. дополнительное программное обеспечение", — сказал Дурандо.

Android

Масштабная кампания вредоносного ПО в AppGallery Huawei привела к примерно 9 300 000 установок троянов Android, маскирующихся под более 190 различных приложений.

Эта троянская программа детектируется Dr.Web как Android.Cynos.7.origin и представляет собой модифицированную версию вредоносной программы Cynos, предназначенную для сбора конфиденциальных пользовательских данных.

Открытие и отчет поступили от исследователей Dr. Web AV, которые уведомили Huawei и помогли удалить выявленные приложения из их магазина.

Однако тем, кто установил приложения на свои устройства, все равно придется удалить их со своих устройств Android вручную.

Троян, замаскированный под игровые приложения

Злоумышленники спрятали свое вредоносное ПО в приложениях для Android, выдавая себя за симуляторы, платформеры, аркады, стратегии в реальном времени и стрелялки для русскоязычных, китайских или иностранных (англоязычных) пользователей.

Поскольку все они предлагали рекламируемые функции, пользователи вряд ли удалили их, если им понравилась игра.

Список вредоносных приложений Cynos слишком обширен, чтобы его здесь приводить, но некоторые примечательные примеры, которые выделяются большим количеством установок, перечислены ниже:

  • 快点躲起来 (Поторопитесь и спрячьтесь) – 2 000 000
  • Кошачьи приключения — 427 000
  • Симулятор автошколы – 142 000

Одно из троянских приложений

Одно из троянских приложений.
Источник: Dr. Web

Поскольку нецелесообразно сравнивать ваш список установленных приложений с полным списком из 190 вредоносных приложений, более простым решением будет запуск антивирусного инструмента, способного обнаруживать трояны Cynos и их разновидности.

Мощное вредоносное ПО

Функции этого варианта трояна Cynos могут выполнять различные вредоносные действия, в том числе шпионить за SMS-текстами, а также загружать и устанавливать другие полезные нагрузки.

«Android.Cynos.7.origin — одна из модификаций программного модуля Cynos. Этот модуль может быть интегрирован в Android-приложения для их монетизации. Эта платформа известна как минимум с 2014 года», — пояснила вредоносная программа «Доктор Веб». аналитики в своем отчете.

"Некоторые его версии обладают достаточно агрессивным функционалом: отправляют платные СМС, перехватывают входящие СМС, скачивают и запускают дополнительные модули, скачивают и устанавливают другие приложения."

"Основной функционал версии, обнаруженной нашими аналитиками вредоносных программ, — сбор информации о пользователях и их устройствах и показ рекламы."

Агрессивный характер троянца становится очевидным уже на этапе установки, когда он запрашивает разрешение на выполнение действий, обычно не связанных с игрой, таких как телефонные звонки или определение местонахождения пользователей.

Рискованный запрос разрешения от игра

Рискованный запрос разрешения из игры со шнуровкой
Источник: Dr. Web

Если пользователь предоставит разрешение, вредоносное ПО может передать следующие данные на удаленный сервер:

  • Номер мобильного телефона пользователя
  • Расположение устройства на основе координат GPS или данных мобильной сети и точки доступа Wi-Fi.
  • Различные параметры мобильной сети, такие как код сети и мобильный код страны; также идентификатор соты GSM и международный код зоны местоположения GSM.
  • Различные технические характеристики устройства.
  • Различные параметры из метаданных троянского приложения.

Помимо вышеперечисленного, трояны Cynos потенциально могут загружать и устанавливать дополнительные модули или приложения, отправлять SMS-сообщения премиум-класса и перехватывать входящие SMS-сообщения.

Таким образом, эти приложения могут привести к непредвиденным расходам за подписку на премиум-услуги, а также могут сбрасывать еще более незаметные шпионские полезные нагрузки.

Обновление от 24 ноября. Представитель Huawei поделился с Bleeping Computer следующим комментарием:

«Встроенная система безопасности AppGallery быстро выявила потенциальный риск в этих приложениях. Сейчас мы активно работаем с затронутыми разработчиками над устранением неполадок в их приложениях. AppGallery, чтобы потребители могли снова загружать свои любимые приложения и продолжать пользоваться ими.

Защита сетевой безопасности и конфиденциальности пользователей является приоритетом Huawei. Мы приветствуем любой сторонний надзор и отзывы, чтобы гарантировать, что мы выполняем это обязательство. Мы будем продолжать тесно сотрудничать с нашими партнерами и в то же время использовать самые передовые и инновационные технологии для защиты конфиденциальности наших пользователей."

Smishing, фишинговая SMS-атака / Vishing, голосовая фишинговая атака по телефону

Джейн Келли / Roshi11 / Егор Суворов / Getty Images

За последние годы магазин Google Play стал лучше контролировать вредоносное ПО, поднимая планку для злоумышленников, но время от времени в него продолжают проникать тщательно продуманные трояны-невидимки. Так обстоит дело с AbstractEmu, недавно обнаруженной угрозой, маскирующейся под служебные приложения и способной получить полный контроль над устройствами с помощью корневых эксплойтов.

"Это важное открытие, потому что за последние пять лет широко распространенное вредоносное ПО с root-правами стало редкостью", – заявили в недавнем анализе исследователи из компании Lookout, занимающейся безопасностью. "По мере развития экосистемы Android все меньше эксплойтов, затрагивающих большое количество устройств, делают их менее полезными для злоумышленников".

AbstractEmu можно найти в Google Play, Amazon Appstore, Samsung Galaxy Store и других менее популярных магазинах приложений, таких как Aptoide и APKPure. Это служит напоминанием для предприятий и пользователей мобильных устройств в целом о том, что, хотя загрузка приложений из надежных магазинов приложений значительно снижает вероятность компрометации мобильного устройства, это не панацея, и требуется дополнительная защита и мониторинг.Очень важно выбирать устройства, которые предлагают регулярные и своевременные исправления безопасности ОС, а также ограничивать количество приложений на устройстве и удалять ненужные.

Вероятно, финансовая глобальная кампания

По данным Lookout, вредоносная программа AbstractEmu была обнаружена в 19 приложениях, которые выдавали себя за менеджеры паролей, средства запуска приложений, средства сохранения данных, блокиратор рекламы с подсветкой и другие служебные приложения. Некоторые из названий включают Браузер для защиты от рекламы, Экономия данных, Lite Launcher, My Phone, Night Light, All Passwords и Phone Plus. Например, на момент закрытия Lite Launcher в Google Play было загружено более 10 000 раз.

Все приложения кажутся полностью функциональными, что позволяет предположить, что они могут быть законными приложениями, которые были злонамеренно изменены и переименованы. Исследователи обнаружили, что приложения не только загружаются в различные магазины приложений, но и рекламируются в социальных сетях и на форумах, посвященных Android, в основном на английском языке, хотя была обнаружена и реклама на вьетнамском языке.

"В дополнение к нецелевому распространению приложения обширные разрешения, предоставляемые с помощью root-доступа, совпадают с другими финансово мотивированными угрозами, которые мы наблюдали ранее", — говорят исследователи. «Сюда входят общие разрешения, запрашиваемые банковскими троянами, которые дают им возможность получать любые коды двухфакторной аутентификации, отправленные по SMS или запускаться в фоновом режиме и запускать фишинговые атаки. контент на экране и доступ к службам специальных возможностей, что позволяет злоумышленникам взаимодействовать с другими приложениями на устройстве, включая финансовые приложения. Оба разрешения аналогичны разрешениям, запрашиваемым семействами вредоносных программ Anatsa и Vultur."

Этот новый троянец затронул пользователей как минимум из 17 стран. Несмотря на то, что неизбирательное нацеливание на широкую сеть и другие аспекты указывают на финансовую мотивацию, шпионские возможности вредоносного ПО обширны и могут использоваться и для других целей. К сожалению, исследователям не удалось получить окончательные данные, переданные с командно-контрольного сервера, чтобы подтвердить цели злоумышленников.

Рутинг, антиэмуляция и динамическая полезная нагрузка

Приложения AbstractEmulure, распространяемые в магазинах приложений, содержат код, который пытается определить, запускается ли приложение в эмулируемой среде или на реальном устройстве. Это важная тактика уклонения от обнаружения, потому что Google Play запускает отправленные приложения в эмуляторе перед сканированием их кода, как и многие другие поставщики средств безопасности. Проверки аналогичны проверкам из библиотеки с открытым исходным кодом EmulatorDetector и включают проверку системных свойств устройства, списка установленных приложений и файловой системы.

Как только приложение определит, что оно работает на реальном устройстве, оно начнет связываться с сервером злоумышленников и загрузит дополнительную информацию об устройстве, включая его производителя, модель, версию, серийный номер, номер телефона, IP-адрес, часовой пояс. и информацию об учетной записи.

Затем сервер будет использовать эту информацию об устройстве, чтобы определить, должно ли приложение пытаться получить root-права на устройстве — получить полные административные привилегии (root) с помощью эксплойтов. Пакеты приложений используют эксплойты для нескольких уязвимостей в закодированной форме, а порядок их выполнения определяется ответом командно-контрольного сервера.

AbstractEmu включает как новые, так и старые эксплойты root: CVE-2020-0069, CVE-2020-0041, CVE-2019-2215 (Qu1ckr00t), CVE-2015-3636 (PingPingRoot) и CVE-2015-1805 (iovyroot). .

CVE-2020-0069 — это уязвимость повышения привилегий в драйвере очереди команд MediaTek (или драйвере CMDQ), которая затрагивает миллионы устройств с наборами микросхем на базе MediaTek от разных производителей. Уязвимость была устранена в марте 2020 г., но устройства, которые больше не поддерживаются и с тех пор не получали обновлений безопасности от своих производителей, по-прежнему уязвимы.

CVE-2020-0041 также представляет собой уязвимость, связанную с повышением привилегий, исправленную в марте 2020 г., но затрагивающую компонент Android Binder. Ограничивающим фактором является то, что эта уязвимость есть только в более новых версиях ядра, а многие устройства Android используют старые ядра.

В последние годы многие производители Android добились прогресса в своевременном выпуске обновлений безопасности Android, особенно для своих флагманских моделей, но фрагментация экосистемы Android по-прежнему остается проблемой.

У производителей есть несколько линеек продуктов с разными наборами микросхем и специальными прошивками для каждой из них, поэтому, даже если Google выпускает ежемесячные исправления, интеграция этих исправлений и доставка обновлений прошивки для такого разнообразного набора устройств может занять от нескольких дней до месяцев. Как правило, более новые и более совершенные устройства получают исправления быстрее, чем старые модели, но время для исправления может значительно различаться от производителя к производителю.В то время как вредоносные программы с возможностями рутирования не так эффективны, как в первые дни Android, что может объяснить их снижение в последние годы, многие устройства все еще не имеют исправлений и, вероятно, уязвимы даже для эксплойтов годичной давности, таких как те, которые используются AbstractEmu. .

Процесс рутирования, используемый троянцем, также использует сценарии оболочки и двоичные файлы, скопированные из Magisk, решения с открытым исходным кодом для рутирования телефонов Android, которое не изменяет системный раздел и его труднее обнаружить. Если рутирование прошло успешно, сценарии оболочки автоматически устанавливают приложение под названием «Хранилище настроек» и предоставляют ему навязчивые разрешения без вмешательства пользователя, включая доступ к контактам, журналам вызовов, SMS-сообщениям, местоположению, камере и микрофону.

Само по себе приложение «Хранилище настроек» не содержит вредоносных функций, и если пользователь попытается открыть его, оно автоматически откроет обычное системное приложение «Настройки». Однако мошенническое приложение будет выполнять дополнительные полезные нагрузки с сервера управления и контроля, которые будут использовать его разрешения. Исследователи Lookout не получили эти дополнительные полезные данные с командно-контрольного сервера из-за мер предосторожности, принятых злоумышленниками, но поведение приложения явно направлено на то, чтобы продуктам безопасности или сканерам кода APK было сложнее обнаружить его вредоносную природу.< /p>

"Несмотря на то, что мы не смогли выяснить назначение AbstractEmu, мы получили ценную информацию о современной кампании массового распространения вредоносного ПО для получения root-доступа, которая стала редкостью по мере взросления платформы Android", – говорят исследователи. «Укоренение устройств Android или джейлбрейк устройств iOS по-прежнему являются наиболее инвазивными способами полной компрометации мобильного устройства. Мы должны помнить, будь вы ИТ-специалистом или потребителем, что мобильные устройства являются идеальными инструментами для кибербезопасности. преступникам, поскольку они обладают бесчисленными функциями и хранят огромное количество конфиденциальных данных."

Читайте также: