Як написати програму для андроїд вірус. Віруси на ОС Android. Як уникнути вірусного зараження Android-пристроїв

Віруси можуть бути двох типів:

1. Підробка - використовується назва і значок якогось відомого додатка, але всередині тільки шкідливий код. Більшість вірусів саме такого типу.

2. Троянський кінь - в нормальне додаток додається шкідливий код, який працює разом з додатком.

Що можуть віруси

1. Красти гроші з SIM-карти: дзвонити або відправляти SMS на платні номери до тих пір, поки на SIM-картці не закінчаться гроші.

2. Красти інформацію: відправляти паролі від інтернет-банків, дані банківських карт або особисті файли шахраям, розсилати повідомлення з вірусними посиланнями на номери з записної книжки від вашого імені.

3. Блокувати нормальну роботу пристрою: відображати банер-вимагач, який не дає користуватися пристроєм.

4. Використовувати потужність вашого пристрою: показувати приховану рекламу або Майні криптовалюта.

Як віруси потрапляють на смартфон або планшет

Шахраї маскують віруси під нешкідливі програми та файли: браузери, плеєри, ігри, навігатори, книги, антивіруси. Потім вони поширюють їх:

1. На сайтах для дорослих, сайтах з зламаними додатками і піратськими фільмами, торрент-трекерах і т.п.

Наприклад, шукаєте в інтернеті якусь гру або програму, і потрапляєте на форум. Хтось залишив одне з посилань, і всі дружно його дякують.

Насправді форум і коментатори не справжні.

Або заходьте сайт з піратськими фільмами і серіалами, з'являється повідомлення. У ньому написано, що смартфон / планшет заражений вірусами або якась програма сильно застаріла. Буває навіть так, що пристрій починає вібрувати або видавати дивні звуки.

Насправді це не так і з пристроєм все в порядку.

2. По SMS, MMS та електронної пошти

Як правило, це SMS від «дівчат з сайтів знайомств», з сайтів безкоштовних оголошень, листи від «нотаріусів з Німеччини», повідомлення про виграші в лотерею.

Будьте обережні, чудес не буває. У більшості случев це шахраї.

У всіх подібних повідомлень загальна мета - змусити вас натиснути на посилання, щоб вірус скачати на пристрій.

Як віруси заражають смартофон або планшет

Щоб вірус почав працювати, мало його скачати, - треба ще й встановити. Зазвичай віруси завантажуються в папку «Завантаження» (Download) і виглядають як файли додатків з розширенням «apk».

Якщо натиснути на вірус, з'явиться список дозволів. Дозволи - це ті дії, які додаток зможе виконувати після установки.

Якщо натиснути «Встановити», вірус встановиться і почне працювати.

Як відрізнити вірус від нормального додатки

Більшість вірусів пишеться непрофесіоналами, які хочуть швидко і без особливих проблем з законом отримати грошей. Тому стандартні прикмети таких вірусів - дозволу для відправки повідомлень або дзвінків. Коли такий вірус встановиться, він почне непомітно відправляти SMS або телефонувати на платні номери.

Порівняємо справжні додатки і віруси. Антивірус Dr.Web:

Дозволи оригінального антивіруса з Play Маркет

Дозволи вірусу, який видає себе за антивірус

Яндекс.навігатор:

Дозволи оригінального навігатора з Play Маркет

Дозволи вірусу, який видає себе за навігатор

Гра Хто говорить Том 2:

Дозволи оригінальної гри Том 2 з Play Маркет

Дозволи вірусу, який видає себе за гру Том 2

Звичайно, не всі програми, які запитують доступ до дзвінків і повідомлень, - віруси. І не всі віруси запитують доступ до платних функцій.

Якщо шахраї захочуть познімати вашої камерою - потрібно доступ до камери і інтернету.
Якщо будуть потрібні ваші файли - попросять доступ до пам'яті і інтернету.
Чи захочуть заблокувати екран банером - запитають права адміністратора.
А деякі віруси взагалі вміють приховувати дозволу при установці.

Пізнати якісно зроблений вірус складно - або потрібно дивитися вихідний код програми, або встановити вірус на пристрій, зняти з нього логи (журнал подій) і розбиратися в них. На щастя, такі віруси зустрічаються рідко. Найчастіше вам знадобляться два орієнтири:

Якщо додаток Завантажити з невідомого сайту і запитує доступ до платних функцій - це вірус в 99% випадків.

Як убезпечити смартфон або планшет від вірусів

1. Встановлюйте програми лише з Play Маркет і підходите до їх вибору серйозно

Відрізнити вірус від нормального додатки непідготовленій людині дуже складно. Щоб убезпечити користувачів, компанія Google зробила спеціальний каталог з додатками - Play Маркет.

Перш ніж додати додаток в Play Маркет, Google перевіряє, чи немає в ньому шкідливого коду. Користувачі, які скачують програми з Play Market, більш захищені, ніж ті, які скачують програми з різних сайтів і форумів. Але пам'ятайте, що немає нічого повністю безпечного, тому підходите до вибору додатків серйозно: уважно читайте дозволу і дивіться на рейтинги.

2. Не переходьте з невідомих посиланнях в SMS, MMS або поштою

Шахраї навіть навчилися підробляти номера та адреси електронної пошти, тому повідомлення з вірусними посиланнями можуть приходити і від ваших знайомих.

3. Не рутіруйте пристрій і не встановлюйте неофіційні прошивки

Якщо на пристрої є рут, вірус зможе прописатися в системні програми і тоді його зможе видалити тільки повна перепрошивка пристрою.

4. Вимкніть автополучение MMS на вашому пристрої

Шахраї можуть автоматично завантажувати віруси на пристрій через MMS. Це пов'язано з уразливими бібліотеки Stagefright.

Щоб відключити автозавантаження MMS виберіть: Повідомлення → Більше → Установки → (Додатково) → MMS → Автополученіе (Автозавантаження) → Відключити.

5. Не підключайте банківську послугу «Автоплатеж» (автоматичне поповнення балансу телефонного номера при зниженні до певної суми)

Якщо раптом на пристрій потрапить вірус, який відправляє SMS на платні номери, то баланс SIM-карти буде поповнюватися доти, поки гроші на карті не закінчаться. Повідомлення від банку при цьому зазвичай блокуються.

Порада: для отримання повідомлень від банків і інших важливих відправників купите окремий номер, який ніхто не буде знати, і простий телефон.

Як зрозуміти, що на смартфоні або планшеті з'явився вірус

Не існує однозначних ознак, все залежить від вірусу. Одні помітні відразу після установки (з'являється банер і блокується доступ до пристрою), інші можуть довгий час себе не видавати. У більшості випадків ознаки такі:

З'являються великі рахунки за SMS або дзвінки;
З'являється банер з вимогою заплатити шахраям, який не дає користуватися пристроєм;
З'являються незнайомі програми;
Дуже швидко починає сідати батарея;
Швидко витрачається інтернет-трафік незрозумілими додатками;
Пристрій починає сильно гальмувати.

Як видалити вірус, якщо меню відкривається

Як видалити вірус, якщо меню не відкривається (банер-вимагач)

Якщо на екрані з'явився банер-вимагач і не дає користуватися пристроєм:

Чи не перераховуйте гроші шахраям - вони все одно не розблокують пристрій.

Витягніть SIM-карту, щоб не списали гроші з рахунку.

Завантажте пристрій в безпечному режимі.

Якщо банер в безпечному режимі пропав, вимкніть права адміністратора у всіх додатків.

Якщо банер не пропав, перейдіть до пункту №11.

Перегляньте всі встановлені додатки і видаліть невідомі вам.

Перезавантажте пристрій. Пристрій завантажиться в звичайному режимі, банера не повинен бути.

Якщо після перезавантаження банер з'явився, перейдіть до пункту №11.

Скачайте антивірус, якому довіряєте, через Wi-Fi з Play Маркет.

Пристрій вірусів і механізми роботи антивірусів змінюються щодня, тому порадити якийсь конкретний антивірус неможливо. Орієнтуйтеся на рейтинги інших користувачів і відгуки. На думку автора, непогані антивіруси: Eset, Kaspersky і Dr. Web.

Перевірте пристрій антивірусом і видаліть всі знайдені віруси.

Видаліть антивірус, який встановили.

Скачайте інший антивірус і перевірте пристрій ще раз.

Якщо попередні варіанти не допомагають, зробіть скидання даних пристрою.

Якщо самостійно впоратися з вірусом не вдається, зверніться до сервісного центру Samsung.

Чи потрібен антивірус на Android

Якщо ви користувач і не впевнені в своїх силах - потрібен. Але тільки один.

Якщо користуєтеся пристроєм обережно і дотримуєтеся правил безпеки, антивірус можна не встановлювати.

Перший експериментальний зразок повноцінного трояна для Android був представлений влітку 2010 року на конференції DEF CON 18. З тих пір пройшло вже більше чотирьох років, і за цей час кількість вірусів для мобільної ОС від Google зросла в тисячі разів, а Google встигла придумати десятки різних методів протистояння загрозам. У цій статті ми детально досліджуємо світ шкідливий для Android і простежимо протистояння пошукового гіганта і хакерів.

До нашої ери, або Як написати вірус за 15 хвилин

Перші спроби створити шкідливий софт для Android і довести неспроможність гугловський мобільної платформи з точки зору безпеки почалися з публікації перших попередніх версій Android SDK в 2007 році. Молоді студенти писали софт, який використовував стандартну функціональність смартфона для читання SMS'ок, а «дослідні» команди, на кшталт Blitz Force Massada, демонстрували аж «30 векторів атак на Android», показуючи, як можна використовувати стандартні API Android у шкідливих цілях.

Це був час іграшок, які не можна було назвати ні справжнім шкідливим ПЗ, ні тим більше вірусами. То тут, то там з'являлися додатки, на зразок Mobile Spy від Retina-X Studios, які дозволяли віддалено читати текстові повідомлення, історію дзвінків, переглядати фотографії, відео, визначати координати смартфона. Зустрічалися і різні підроблені програми, такі як виявлений в маркеті в січні 2010 року неофіційний клієнт для різних банків, який ні з чим не з'єднувався, а просто вів номери кредитних карт, введених самим користувачем.

Більш-менш справжній троян був реалізований тільки в 2010 році сек'юріті-компанією Trustwave, яка продемонструвала його на конференції DEF CON 18. Втім, Америки вони не відкрили; троян був всього лише стандартним модулем ядра Linux, який перехоплював системні виклики write (), read (), open () і close (), а також створював реверсивний шелл по дзвінку з певного номера. Вся ця функціональність дозволяла підключитися до смартфону віддалено і таємно використовувати його можливості в своїх цілях, в тому числі читати конфіденційну інформацію.

Для установки руткита був потрібний фізичний доступ до пристрою, root-права і смартфон HTC Legend (модуль був сумісний тільки з його ядром), тому ні про яке практичне застосування руткита мови не йшло. Proof of concept, який довів тільки те, що ядро \u200b\u200bLinux і в смартфоні залишається ядром Linux.

Справжній троян в «дикій природі» (чи не маркеті) був знайдений тільки в серпні 2010 року. Правда, це був зовсім не той тип трояна, про який прийнято писати в нашому журналі, а всього лише SMS-троян, тобто, по суті, звичайна програма, яка шле SMS на платні номери без відома користувача. Іграшка, яку хороший програміст напише за півгодини, але дуже небезпечна, потрап вона до звичайного користувача.

Троян, який отримав ім'я Trojan-SMS.AndroidOS.FakePlayer.a, прикидався відеоплеєром під нехитрою назвою Movie Player і з іконкою стандартного програвача з Windows. Додаток вимагало права доступу до карти пам'яті, відправлення SMS і отримання даних про смартфон, про що система повідомляла перед його установкою. Якщо все це не бентежило користувача і він погоджувався з установкою і запускав додаток, воно повисало в тлі і починало відправку SMS на номери 3353 і 3354, кожна з яких обходилася в п'ять доларів. Номери ці, до речі, діяли тільки на території Росії, так що неважко здогадатися про коріння автора даного «твори».

У жовтні було виявлено інший тип SMS-трояна. На цей раз зловредів використовував смартфон не для спустошення гаманця жертви, а для крадіжки його конфіденційних даних. Після установки і запуску троян йшов в фон і пересилав всі вхідні SMS на інший номер. В результаті зловмисник міг не тільки заволодіти різної конфіденційною інформацією користувача, але і обійти системи двоетапної аутентифікації, які для входу вимагають не тільки логін і пароль, а й одноразовий код, що відправляється на номер мобільного телефону.

Цікаво, що номер телефону зловмисника ні жорстко вбитий в код трояна, а конфігурувати віддалено. Щоб його змінити, потрібно відправити на номер жертви особливим чином оформлену SMS, яка містила номер телефону і пароль. Пароль можна було змінити за допомогою іншої SMS, за замовчуванням використовувалася комбінація red4life.

Geinimi і все-все-все

Перший по-справжньому професійно написаний і володіє захистом від аналізу шкідливий для Android був виявлений тільки в грудні 2010 року компанією Lookout. Троян, який отримав ім'я Geinimi, якісно відрізнявся від усього, що було написано раніше, і мав такими унікальними характеристиками:

Поширення в складі легітимного ПЗ. На відміну від всіх інших зловредів, які тільки прикидалися справжніми програмами і іграми, Geinimi насправді впроваджувався в реально існуючі гри. У різний час троян був знайдений в складі таких додатків, як Monkey Jump 2, President Versus Aliens, City Defense and Baseball Superstars 2010 розкиданих по місцевим магазину Китаю і різним torrent-трекера. Функціональність оригінального програми повністю зберігалася, тому користувач навіть не здогадувався про зараження смартфона.
Подвійний захист від аналізу. Код трояна був пропущений через обфуськатор, що ускладнювало його аналіз, а всі комунікації з віддаленим сервером шифрувалися (справедливості заради варто сказати, що використовувався ущербний алгоритм DES з ключем 12345678).
Можливість використання для організації ботнету. У коді Geinimi було знайдено більше 20 керівників команд, які дозволяли виконувати такі операції, як установка і видалення програм (правда, на це потрібен дозвіл користувача), отримання списку всіх встановлених програм або запуск додатків.

В цілому Geinimi діяв за таким алгоритмом. Після запуску зараженого додатки створювався фоновий сервіс, який збирав персональні дані: координати пристрою, номери IMEI та IMSI. Потім з інтервалом в одну хвилину він намагався зв'язатися з одним з десяти віддалених серверів (www.widifu.com, www.udaore.com, www.frijd.com і іншими), куди передавалася вся зібрана інформація і де збиралися команди для віддаленого виконання.

Geinimi став родоначальником повнофункціональних троянів для Android, і після його першого виявлення на просторах інтернету стали все частіше з'являтися зловредів з аналогічною або схожою функціональністю. Незабаром було знайдено модифікація Geinimi під назвою ADRD, троян Android.Pjapps і безліч інших. Всі вони поширювалися через різні сайти, torrent-трекери, китайські неофіційні магазини, тому захиститися від них можна було, просто не встановлюючи додатки з невідомих джерел. Однак все змінилося, коли був виявлений троян DroidDream, що поширювався в складі більш ніж 50 додатків, викладених в офіційному Android Market.

DroidDream і початок боротьби за чистоту маркету

У березні 2011 року користувач Lompolo повідомив на reddit, що в маркеті Android виявлено кількох десятків шкідливих додатків, опублікованих людиною з ніком Myournet. Незважаючи на буденність самого трояна, а також вже відомий спосіб поширення, заснований на впровадженні коду в легітимне додаток, факт наявності малварі в маркеті, а також припущення про те, що вона використовує експлойт rageagainstthecage для отримання прав root на пристрої, швидко підігріли інтерес до новини користувачів і співробітників різних сек'юріті-компаній. За кілька днів початковий список з двох десятків додатків розширився до 56, а серед публікували його людей (або ботів, хто знає) виявилися Kingmall2010 і we20090202.

Сам по собі DroidDream по функціональності був дуже схожий на спрощений Geinimi, але не був його варіацією. Він також збирав інформацію про смартфон, відправляв її на віддалений сервер (http://184.105.245.17:8080/GMServer/GMServlet) і отримував у відповідь керуючі команди. Плюс до всього він також містив у собі інше застосування, заховане в каталозі assets / sqlite.db всередині APK і встановлюється в систему під ім'ям DownloadProvidersManager.apk. Очевидно, це був захист від видалення.

В сумі заражені додатки встигли встановити від 50 до 200 тисяч користувачів, поки команда безпеки Google не відреагувала на повідомлення і не видалила з маркету всі знайдені копії зловреда і акаунти виклали їх користувачів. На додаток в маркеті також з'явився додаток Android Market Security Tool, за допомогою якого користувач міг очистити смартфон від зарази. Але і тут не обійшлося без конфузу. Буквально через два дні після цього Symantec виявила на просторах інтернету заражену версію цього додатка, яка містила в собі вже інший троян, названий згодом Fake10086 за вибіркову блокування SMS з номера 10086.

Факт проникнення малварі в Android Market (а після DroidDream в маркеті було виявлено ще кілька вірусів) змусив Google серйозно задуматися над безпекою свого сховища додатків, а так як вручну вони нічого робити не звикли, то в результаті на початку 2012 року викотили сервіс Bouncer, який перевіряв додатки на безпеку за допомогою запуску в віртуальній машині. Завдання Bouncer полягала в тому, щоб виробляти багаторазовий запуск софтина, симулювати роботу користувача з додатком і аналізувати стан системи до і після роботи з додатком. Якщо ніяких дивних і підозрілих дій софтіна собі не дозволяла, то вона пропускалася в маркет, в іншому випадку публікація блокувалася.

Якщо вірити Google, то відразу після запуску Bouncer скоротив кількість шкідників в маркеті на 40% Однак пізніше з'ясувалося, що його можна легко обійти, просто проаналізувавши деякі характеристики системи, такі як email-адреса власника «смартфона», версію ОС і так далі, а потім створивши додаток, яке при їх виявленні діятиме абсолютно законно і робити брудну роботу тільки на цьому смартфоні. Швидше за все, Google вже розробила схему протидії виявленню Bouncer (наприклад, за допомогою генерації унікальних віртуальних оточень для кожної програми).

Zeus-in-the-Mobile

П'ять років тому по комп'ютерам користувачів почав свій переможний хід троян під назвою Zeus. Завдяки витонченому дизайну і просунутим технікам маскування, робив його виявлення неймовірно важким завданням, він зміг поширитися на мільйони машин по всьому світу і створити один з найбільших ботнетів в історії; тільки в США було зафіксовано понад три з половиною мільйонів випадків зараження.

Основне завдання Zeus полягала в організації атаки типу man-in-the-browser, тобто використання технік кейлоггінга і формграббінга для перехоплення приватної інформації користувачів і її відправки на віддалені сервери. За час своєї роботи Zeus зміг потягти сотні тисяч логінів і паролів від популярних сервісів (Facebook, Yahoo !, hi5, metroFLOG, Sonico, Netlog) і, звичайно ж, безлічі онлайн-банків.

Розробник Zeus швидко відреагував на появу систем двофакторної аутентифікації і в 2010 році випустив для Symbian і BlackBerry додатки, завдання яких полягало в перехопленні аутентифікаційних SMS-повідомлень з одноразовими кодами авторизації і їх подальшої відправки на все ті ж віддалені сервери. У середини 2012 року аналогічний додаток з'явилося і для Android.

Перша його версія була дуже примітивна і представляла собою нібито сек'юріті-додаток, що при запуску виводить код верифікації і закривається. В результаті в тлі повисає сервісний процес, який займається перехопленням SMS і їх відправкою на віддалений сервер. Подальші версії Zeus для Android обзавелися також системою віддаленого управління за допомогою повідомлень з певного номера, однак ніяких просунутих прийомів маскування або поширення вірус не використовував і в цей раз.

Проте мобільна версія Zeus все-таки змогла наробити багато шуму в ЗМІ, але, як можна бачити, троян був сильно переоцінений.

Перший IRC-бот

В середині січня 2012 співробітники «Лабораторії Касперського» повідомили, що виявлений перший в історії Android IRC-бот. Додаток поширювалося у вигляді інсталяційного APK-файлу розміром трохи більше 5 Мб і видавало себе за гру Madden NFL 12. Цікаве відміну цього трояна від інших було в тому, що, по суті, вся його логіка роботи полягала в нативних додатків Linux, які ніяк не світилися в вікні стандартного диспетчера задач Android і до того ж використовували локальний експлойт для отримання прав root.

Під час запуску додаток створювало каталог /data/data/com.android.bot/files, в якому розміщував три файли: header01.png, footer01.png, border01.png, а потім ставило на них біт виконання і запускало перший файл - експлойт Gingerbreak для отримання прав root на пристрої. Якщо була встановлена \u200b\u200bвже рутованних прошивка, додаток намагалося отримати права root штатними засобами, в результаті чого у користувача вимагалось надання підвищених привілеїв (той випадок, коли рутованних смартфон безпечніше залоченним).

У разі успішного отримання прав root будь-яким з двох способів запускався другий файл, в якому зберігався SMS-троян - модифікація відомого трояна Foncy SMS. Троян визначав приналежність SIM-карти країні і починав відправку повідомлень на короткий платний номер, блокуючи всі відповідні повідомлення. Наступним запускався файл border01.png, в якому був код IRC-бота. Він підключався до IRC-сервера з IP-адресою 199.68. . і реєструвався на каналі #andros під випадковим ніком. Всі повідомлення, відправлені боту, виконувалися в консолі як звичайні Linux-команди.

Згідно із заявою співробітників «Лабораторії Касперського», це було перше застосування такого класу для Android. Однак, на їхню думку, небезпека його була невелика, так як поширювався він тільки через сірі маркети, а експлойт працював тільки в ранніх версіях Android 2.3.

Перший поліморфний троян

У лютому 2012-го компанія Symantec повідомила, що виявила перший поліморфний троян для платформи Android, який на той момент не міг бути знайдений жодним мобільним антивірусом, крім її власного (сюрприз). Троян, названий Android.Opfake, поширювався через різні веб-сайти, що знаходилися переважно на території Росії і країн СНД, у вигляді безкоштовної версії популярного додатка або гри.

Поліморфним він був тільки умовно, так як зміна трояна відбувалося на стороні сервера. При кожній новій завантаженні файлу вміст APK-файлу змінювалося за допомогою різних методів, таких як модифікація файлів даних, включення в пакет додатка «сміттєвих файлів», а також зміна імен файлів. Все це ускладнювало виявлення мобільними антивірусами, які в той час використовували примітивні техніки ідентифікації, типу звірки контрольних сум і перевірки на наявність специфічних файлів в пакеті.

Після потрапляння на смартфон жертви і запуску троян витягував з файлу res / raw / data.db (який існував в будь-якої версії трояна) список операторів зв'язку і платних коротких номерів і починав відправку SMS. На додаток троян відкривав в браузері веб-сторінку, яка містить посилання на інше шкідливе ПЗ. Цікаво, що повідомлення також змінювалися при кожній новій мутації трояна, в результаті чого було неможливо блокувати певні типи повідомлень на стороні оператора.

Вірус-матрьошка

За тиждень до того, а саме 1 лютого 2012 року, на сайті Віктор Чебушев опублікував замітку, присвячену виявленню нового типу вірусу, розповсюджуваного через магазин Google Play. Вірус маскувався під додаток Superclean, здатне, за словами розробників, очистити пам'ять пристрою і таким чином підняти продуктивність смартфона або планшета. На той момент додаток мало вже від 1000 до 5000 установок і хороший рейтинг в 4,5 зірки.

Як з'ясувалося, Superclean дійсно виконував очищення пам'яті, але робив це простим перезапуском всіх фонових додатків за допомогою всього п'яти рядків на мові Java. На цій «складною» завданню корисну дію додатка закінчувалося, а найцікавіше починалося далі. Аналізуючи код, співробітник «Лабораторії Касперського» виявив, що можна запустити програму поєднувалося з віддаленим сервером і завантажує на карту пам'яті три файли: autorun.inf, folder.ico і svchosts.exe.

Перші два автоматично перетворювали підключається до USB-порту комп'ютера смартфон в Самозавантажний флешку, з якої запускався файл svchosts.exe. Сам svchosts.exe на перевірку виявився бекдор Backdoor.MSIL.Ssucl.a, який слухає мікрофон комп'ютера і відправляє всі отримані з його допомогою дані на віддалений сервер.

Відмінною рисою трояна був також найзначніший на той момент набір функціональності з усіх мобільних зловредів для Android. За командою від оператора він міг відправляти повідомлення без відома користувача, включати і вимикати Wi-Fi, збирати інформацію про пристрій, відкривати довільні посилання в браузері, відправляти на віддалений сервер вміст SD-карти, SMS-листування і виконувати багато інших операцій.

Черговий відповідь Google, або примусова перевірка всіх програм

До кінця 2012 року ситуація з зловредів для Android стала вже настільки напруженою, що Google вирішила піти на черговий кардинальний крок. У вересні без зайвого розголосу було придбано сервіс онлайн-перевірки додатків на віруси VirusTotal, а 29 жовтня випущена версія Android 4.2, одним з нововведень якої стала автоматична перевірка будь-якого встановлюються не через Google Play додатки на віруси через віддалений сервіс.

Важко сказати, чи використовувала Google куплений VirusTotal для цього завдання, або у них є власний сервіс перевірки, однак не потрібно бути співробітником Google, щоб зрозуміти, що VirusTotal так чи інакше був використаний для захисту Android від вірусів.

Самий просунутий троян

У червні цього року співробітники «Лабораторії Касперського» виявили найбільш складний і просунутий в технічному плані троян для Android з усіх, що зустрічалися до цього. Троян отримав ім'я Backdoor.AndroidOS.Obad.a. Це було незалежне додаток, що не впроваджується в легітимний софт і, судячи з усього, яке розповсюджується під виглядом відомих додатків.

Після угоди користувача з довгим списком повноважень, установки і запуску він запитував права адміністратора пристрою (мова йде не про root, а про власну систему безпеки Android), які були потрібні тільки для двох речей: самостійної блокування екрану і захисту від видалення. Останнє троян робив особливо вишукано. Використовуючи раніше невідомий баг в Android, він видаляв себе зі списку додатків із правами адміністратора, через що його неможливо було позбавити цих прав і, як наслідок, видалити.

Далі троян перевіряв в системі наявність прав root і при наступному підключенні до Wi-Fi-мережі відправляв інформацію про пристрій на віддалений сервер. Інформація була типова для такого роду додатків і містила в собі номер телефону, IMEI, MAC-адреси і подібну інформацію. У відповідь він отримував список команд для виконання та заносив їх в базу даних з позначкою про час виконання. Віддаленими командами могли бути: перевірка балансу, відправлення повідомлень, перехід в режим проксінг трафіку, скачування і установка додатків, відправка файлів по Bluetooth, відкриття шелла і інші. Плюс до всього при кожному підключенні до іншого пристрою по синьому зубу він копіював сам себе на цей пристрій.

При спробі аналізу коду трояна виявилося використання безлічі технік захисту від аналізу. По-перше, троян експлуатував невідомий раніше баг в утиліті dex2jar, через якого декомпіляція коду трояна відбувалася некоректно. По-друге, троян використовував ще один невідомий баг в Android, що дозволяє створити файл Manifest.xml, в якому міститься метаінформація про програму, таким чином, щоб він суперечив стандартам Google, але при цьому коректно оброблявся під час запуску програми. Через це багато інструментів аналізу просто не спрацьовували.

Якщо ж вдавалося розпакувати і декомпілювати код трояна, обійшовши ці обмеження, то далі доводилося мати справу з багаторівневою системою шифрування, яка захищала від аналізу все текстові дані, а також імена методів (вони теж були рядками і викликалися за допомогою рефлексії). Цікаво, що ключем для першого шару шифрування був рядок з головної сторінки facebook.com, через що роботу трояна неможливо було проаналізувати в «стерильній кімнаті», без підключення до інтернету (хоча обмеження, звичайно, можна обійти за допомогою проксі).

INFO

В якості одного з методів поліморфізму в знайденому Symantec трояни використовувалася включається в різні файли фотографія того самого Свідка з Фрязіно.

висновки

Кількість вірусів для Android сьогодні обчислюється тисячами, і деякі з них дійсно представляють інтерес для дослідника як зразки хорошого програмування і знання архітектури Android. Ось тільки боятися їх не варто. Автор даної статті вже більше шести років використовує смартфони на Android без всяких антивірусів і ні разу не зловив на них заразу. Головне - читати повноваження додатків і ставити їх тільки з маркету.

Почнемо з «свіжака» - Триаду сьогодні можна вважати найновішим і «куленепробивним» вірусом для смартфонів. Його і виявили щось тільки в березні 2017 року.

Унікальний він своєю близькістю до класичних вірусів, а не троянам-здирникам, як це зазвичай буває на Android. Вам все ж потрібно примудритися підхопити його з «неперевірених джерел», а ось далі починається набагато веселий «бойовичок»:

Triada - вірус, який не просто хуліганить в системі, а вклинюється в її життєво важливі ділянки

Triada включається після того, як ви встановите і дасте дозволу вашої улюбленої гойдалці музики з ВКонтакте, наприклад. Після програма нишком з'ясовує модель вашого смартфона, версію прошивки і Android, обсяг вільного місця на накопичувачах і список встановлених додатків. І відправляє цю інформацію в інтернет , На свої сервери. Цих серверів величезна кількість, вони розкидані в різних країнах, тобто, навіть приїхати і влаштувати «маски-шоу» за місцем розташування сервера зі зловредів не вийде.
У відповідь Triada отримує інструкції (Прямо-таки, індивідуальний підхід до пацієнта!), Як краще заховати себе конкретно в цьому різновиді Android і це смартфоні, впроваджується в кожне (!) З встановлених додатків і бере контроль над системними компонентами , Щоб приховати себе в списку встановлених додатків і запущених процесів. Після цього окремо стоїть в системі частина вірусу «замітає» за собою сліди - він більше не працює як окремий додаток, а погоджує свої дії з допомогою шматочків зараженої системи.
Готово, система завойована! З цього моменту смартфон перетворюється в «маріонетку», якій зловмисники віддають команди на відстані і приймають інформацію на будь-який з доступних серверів. Зараз Triada діє примітивно - з'ясовує дані вашої банківської карти, знімає з неї гроші, дістає з вхідних SMS потрібні для оплати коди, «малює» неправдиві цифри про баланс власнику.

Але з можливістю «распотрошить» будь встановлене додаток або встановити нове на відстані це тільки «квіточки» - особливість «Тріади» полягає в тому, що це модульний вірус, до нього можна буде прикрутити найрізноманітніші види дистанційних трюків.

Як бачите, віруси для Android - це не лише примітивні «ваш телефон заблокований, з вас сто баксів», від яких можна позбутися видаленням програми. І, якщо в нових версіях Android хоча б ускладнений доступ до отримання root і можна побачити щось підозріле на етапі запиту прав додатком, то старі версії (Android 4.4, 4.3 і старіше) абсолютно беззахисні перед новою інфекцією - врятує тільки повне перепрошивка.

Marcher

Так званий «банківський зловредів» був розроблений ще в 2013 році, але його «зоряний час» настав тільки влітку 2016 року. Знаменитий хорошою маскуванням і «інтернаціоналізмом», якщо можна так сказати.

Marcher являє собою простий троян, яка не провертає нічого надприродного, а просто підміняє собою спеціальні сторінки величезної кількості банків за допомогою спливаючих вікон. Механізм наступний:

Троян проникає в систему разом з зараженим додатком. Пік популярності Marcher припав на «свежеукраденние» у Nintendo версії Super Mario Run. Якщо ви не пам'ятаєте, це така супер-розкручена «бегалка» від творців Pokemon GO!
Шукає на смартфоні банківські додатки і додатки інтернет-магазинів вибирає «заготовки» відповідно до того, яким банком ви користуєтеся.
Відправляє на смартфон «приманку» - повідомлення в шторці повідомлень із позначкою банку / магазину і повідомленням в стилі «на ваш рахунок надійшло N рублів» / «купон на знижку 75% для будь-якого товару тільки сьогодні!».
власник смартфона клікає на повідомлення. Після чого троян відкриває точну копію, Сторінку, 1-в-1 схожу на ту, що ви звикли бачити в офіційному додатку. І каже щось в стилі «Підключення до мережі перервано, повторіть введення даних банківської карти».
власник смартфона вводить дані банківської картки. Тут-то грошики тю-тю!

«Друже, щось я призабув номер твоєї картки. Чи не нагадаєш? »

Таким нехитрим чином троян підробляв процес покупки авіаквитків, покупки товарів в інтернет-магазинах і софта в Google Play і роботу банківських додатків. Під роздачу потрапили користувачі банківських карт в Німеччині, Франції, Польщі, Туреччини, США, Австралії, Іспанії, Австрії і Великобританії. Спочатку вірус «точили» під Android 6.x, смартфонів під управлінням інших версій виявилося значно менше.

Loki

Навіть не одинак, а цілий каскад троянов- «хамелеонів", не настільки кримінально-суворих, як Triada, але в такій же мірі хворобливих для операційної системи. Антивірусні фахівці звернули увагу на зловредів на початку 2016 року, а в народ смартфони зловредів став масово проникати вже в грудні 2016- го.

Loki - це такий організований розбій за попередньою змовою в вашому смартфоні

Зловредів діють настільки швидко і злагоджено, що хочеться аплодувати їм стоячи. Ви тільки погляньте на цю «многоходовочку»:

перший троян потрапляє в систему з безпечним додатком і разом з ним же запускається. Після цього відразу «запрошувати підкріплення», тобто, викачує з своїх джерел другого троянця і встановлює його з пачкою інструментів для отримання root-прав. Моніторить систему, чекає, коли користувач смартфона вимкне дисплей, і в цьому режимі видобуває root. Після чого запускає свого «колегу».
другий троян перехоплює root-права, отримує доступ до розділу / system ( «заводським» файлів прошивки, які зберігаються навіть після скидання налаштувань), розпаковує з себе ще парочку троянців і розпихує їх в «згорають» системні розділи.
третій троян оживає в цьому самому розділі / system, в якому підміняє собою частину системи, відповідальну за завантаження, і видаляє стандартні «тельбухи» Android. Якщо якимось дивом власник видалить всі попередні віруси і добереться до третього за рахунком Loki, з його видаленням «помре» прошивка смартфона.
В цей час четвертий з каскаду троянців діє з захищеної системної папки, звідки викачує ще пачку вірусів, «крутить» рекламу або просто займається накруткою лічильників завантажень додатків / відвідувань сайтів на інфікованому смартфоні. Блокує скачування і установку антивірусів, удосконалює свій захист.

«Викорчувати» з мізків смартфона сліди цієї бурхливої \u200b\u200bдіяльності неможливо, тому «лікується» зараження за допомогою Loki тільки повної перепрошивкой з втратою всіх даних.

Faketoken

Якщо попередні трояни навмисно діють нишком, щоб користувач смартфона до останнього моменту не здогадувався про зараження, то Faketoken в своєму підході простий і прямолінійний, як досвідчений гопник - вимагає надати йому права на будь-які дії зі смартфоном, а якщо власник відмовляється, в справу вступає алгоритм «чуєш, ти че не зрозумів? Тоді я повторю! ».

Спочатку користувач вимушено дає права адміністратора вірусу

встановлюєте ви, значить, додаток зі звичним ярликом з якогось сайту vasyapupkinsuperwarez.net. Запускаєте, і після цього вас починають «катувати».
Троян викликає системне вікно із запитом прав адміністратора. У кращих демократичних традиціях у власника смартфона є два варіанти - дозволити трояни доступ до системи, або не дозволити. Але в разі відмови Faketoken знову відкриє вікно із запитом системних прав , І буде робити це постійно, до тих пір, поки користувач смартфона не капітулює.
Після цього методом все того ж терморектального криптоанализа троян здобуває собі права на відображення спливаючих вікон і підміну собою стандартного додатка для відправки SMS.
Після успіху в завоюваннях троян зв'язується зі своїм керівником сервером в інтернеті і викачує звідти шаблонні фрази на 77 мовах, якими потім буде шантажувати користувача мобільника.
Потім за допомогою заготовлених фраз Faketoken починає гадити в системі повноекранними повідомленнями в стилі «підтвердіть ім'я і пароль свого облікового запису в Gmail» і «у нас тепер в Google Play обов'язково потрібно прив'язувати картку, введіть необхідні дані». До переможного кінця, зрозуміло.
Троян пустує в системі, відправляє і приймає SMS, здійснює дзвінки, викачує додатки. А наостанок - блокує екран, шифрує всі файли у внутрішній пам'яті та microSD і вимагає «викуп».

Godless

Троян Godless вражає навіть не своєю, так би мовити, функціональністю, а маскуванням - тривалий час його наявність в додатках нерозпізнаних навіть хвалена система антивірусної перевірки в Google Play. Результат трохи передбачуваний - зловредів заразив понад 850 тисяч смартфонів по всьому світу, причому майже половина з них належить жителям Індії, що як би натякає на походження трояна.

Скачувати собі ліхтарик з Google Play - підхоплює видаляється вірус з шифруванням і root-правами

Функціональність трояна слабо відрізняється від його численних колег в 2016 році, новим став тільки «зачин»:

Користувач смартфона завантажує додаток з Google Play , Включає його, в результаті чого разом з додатком запускається і троян. Ви тільки не подумайте щось погане про перевірку Google, адже в цьому «комплекті» немає шкідливого коду - шкідливий код троян завантажує при першому запуску.
Для початку Godless видобуває на смартфоні root-права , Безкоштовно без SMS. За допомогою приблизно такого ж набору засобів, як в цих ваших Towelroot, наприклад. Такі операції троян проводить при вимкненому екрані.
Після цього нахабний троян відправляє себе в папку / system (звідки його вже не видалити без перепрошивки) І шифрує себе за допомогою AES-ключа.
З повним комплектом прав доступу Godless починає потроху красти особисті дані користувачі зі смартфона і встановлювати сторонні додатки. У початкових своїх версіях троян, до речі, ховав з очей користувача стандартний Google Play і замінював його «пародією», через яку крав ім'я і пароль від облікового запису.

Серед додатків, до яких найчастіше «прикручували» Godless, були численні «ліхтарики» і клони відомих ігор для Android.віруси, черви , трояни , adware (Нав'язливу рекламу) і «Страшилки» , Але майже нікого не турбують такі тонкощі. Мовляв, віруси - вони і є віруси.

Відмінності між «сортами радості» наступні:

вірус - шкідлива програма, яка непомітно проникає на комп'ютер завдяки уразливості системи. І, що найважливіше - не займається шкідництвом самостійно, а заражає інші файли в системі. Такий зловредів в випадку з Android мав би проникати після банального кліка на рекламу або відвідування сайту, а потім «переписувати» під себе Gmail, ВКонтакте і інші додатки таким чином, щоб після видалення оригінального вірусу заражені додатки продовжували робити свою чорну справу.
черв'як - робить погану справу і жорстко, нещадно, усіма можливостями поширює самого себе по всіх каналах зв'язку. На комп'ютерах черви розсилали себе по e-mail, мессенджерам, локальної мережі, флешка - тобто, клонували себе самим безсоромним чином.
Троян ніколи не стукає в систему ззовні - ви встановлюєте і запускаєте шкідливу програму власноруч. Так відбувається, тому що трояни підміняють рядові, звичні і відомі всім додатки, а іноді їх просто «пришивають» до цілком працездатним програмами. Тобто, купуєте завантажуєте корисну програму - і отримуєте шкідливу в подарунок!
«Страшилки» (scareware) - додатки, навідні паніку: «О боже, та у вас весь смартфон у вірусах і додатках для прослушки спецслужбами всього світу! Скачайте наш антивірус і дізнайтеся всю правду! ». Завантажуєте, запускаєте, проводите так звану перевірку, після якої програма говорить: «Жахливе кількість вірусів в системі! Ваш телефон помре, якщо не видалити віруси, але для цього Ви повинні ввести дані своєї банківської картки тут і ось тут ». Таку красу часто ігнорують всі антивіруси, тому що вона нічого не зламує і не краде в системі - просто обманює покупця і просить грошей.

На сьогоднішній день OS Android позиціонується як одна з найбільш популярних операційних систем - під її управлінням працює більше 70% пристроїв по всьому світу.

Причина в її доступності: виробник використовує відкритий код для «заточування» під численні гаджети і дає можливість самостійно змінити зовнішній вигляд оболонки, прошити смартфон, отримати і так далі.

Ці прагнення до персоналізації, в кінцевому підсумку, були взяті на озброєння зловмисниками, в результаті чого на світ з'явилася величезна кількість шкідливих програм, що впроваджуються у відкритий код передавальних кермо влади пристроєм в чужі руки.

Як отримати вірус?

Android вважається досить захищеною операційною системою. Не дарма розумні люди придумали Google Play - більша частина всього софта фільтрується на наявність вірусів, що захищає користувача від несанкціонованого впровадження. Знімаючи заборона на установку з невідомих джерел, можна своїми руками відкрити сумнівним додатків доступ до системи девайса.

В основному, більшість шкідливих програм потрапляє в систему шляхом скачування софту зі сторонніх файлообмінників, наприклад, коли власник смартфона намагається безоплатно придбати платне додаток або програму, якої немає в Google Play. Також можна «підчепити» вірус при введенні номера телефону на різних сайтах: так ви потрапите в базу даних зловмисників, після на телефон почнуть приходити повідомлення з дивними посиланнями, після переходу на які шкідливе ПО автоматично захитається на пристрій і завдасть шкоди його власникові.

Які віруси бувають?

класичні трояни. Стари, як світ, але до сих пір успішно функціонують. Основне їх призначення - крадіжка особистих даних користувача: контактів, особистих листувань, логінів / паролів від сайтів і номерів банківських карт. Заробити таку напасть можна як через сумнівне додаток, так і за допомогою переходу з короткою посиланням зі знайомих кожному SMS-повідомлень на зразок «Вам прийшло фото, дивитися тут».

Останнім часом такі віруси все частіше налаштовані на злом програми на кшталт «Мобільного банку», оскільки так зловмисники отримують можливість перевести всі гроші жертви на свій рахунок.

Віруси, що дають можливість отримати root-права. У момент, коли смартфон піддається зараженню цим вірусом, зловмисники отримують права адміністрування. З цього моменту їм доступні будь-які віддалені дії з пристроєм: відправка SMS від імені користувача, здійснення дзвінків, управління роботою девайса, установка софта, все коди доступу, паролі і так далі.

Розсилка платних СМС-повідомлень. Вони свого часу були дуже популярні на сайтах файлообмінників, що містять безкоштовні додатки. Як тільки власник пристрою викачує програму, з його номера автоматично починають відправлятися повідомлення на платні короткі номери. Або, як варіант, автоматично оформляються підписки на якийсь неіснуючий контент, за уявне користування яким володар девайса платить від 20 до 60 руб. щодоби.

Як правило, поки причина стрімкої втрати коштів буде встановлена, користувач встигне втратити пристойну суму.

«Підслуховуючі віруси». Такого роду ПО покликане записувати всі телефонні розмови користувача, деякі підвиди налаштовані вибірково виловлювати з цих розмов важливу інформацію: номери телефонів, банківських рахунків і кредитних карт, логіни, паролі та іншу конфіденційну інформацію.

Рекламні модулі додатків. Напевно, кожен помічав при роботі з деякими додатками нав'язливий рекламний баннер, раптово вискакує посеред екрану. У деяких випадках при кліці на нього творець отримує певну суму з рахунку користувача. Здебільшого подібна акція є разовою і не тягне регулярної втрати коштів, хоча іноді володар смартфона отримує пакет паралельно діючих вірусів.

Як не впіймати вірус?

Для захисту від різноманітного шкідливого ПО власникам смартфонів на базі Android слід відмовитися від установки софта з неперевірених джерел, користуватися антивірусами, регулярно і просто бути передбачливим.