Введение
Не знаю как Вы, а я люблю вредоносное программное обеспечение. Нет, конечно, вирмейк – это негативное явление и наказуемая деятельность. Но сама по себе малварь, отвлекаясь от результатов её работы, чаще всего представляет собой интересные и концептуальные программы, а на вирусной сцене присутствует достаточное количество талантливых разработчиков, способных воплощать оригинальные идеи и реализовывать сложную техническую часть.
Тем интереснее следить за эволюцией такого программного обеспечения…
Безопасность мобильных платформ
… и самым доступным объектом для наблюдения является платформа Android – системе всего три года и развивается она намного быстрее, чем её защитные механизмы. Популярность определяет интерес вирмейкеров к продукту. Кроме того, малварь, созданная под мобильные устройства, даст отличный эффект. Пусть на смартфонах и планшетах не крутятся сотни сайтов, зато они хранят личную информацию отдельного пользователя, а также обладают механизмами, которых нет у десктопов (SMS, GPS и другие) и которым ещё предстоит найти применение.
Год назад мы с другом создали сайт, посвященный мобильной системе от Google. Я веду там раздел «Безопасность», делаю заметки о появляющихся вирусах и уязвимостях. За последний год накопился небольшой материал, в котором достаточно четко можно проследить появление новых векторов и концептов атак мобильной платформы. Поэтому я скомпилировал всё в виде хронологии. Каждому её элементу я дам комментарий и мою субъективную оценку, а также ссылку на статью на моем сайте, где можно прочитать о сабже подробнее, потому что детали просто не уместятся в статье, да они и не нужны в её рамках.
Комментарий
В материале собраны исключительно те факты, которые связаны с появлением новых векторов атаки на платформу с помощью программного обеспечения. Это, в первую очередь, появление малвари, построенной по новым принципам, а также концепты исследователей и обнаруженные уязвимости, демонстрирующие новые подходы, которые могли быть использованы при создании вредоносного ПО.
В частности, сюда не попали вирусы вроде Android.Spy, поскольку в них нет ничего интересного – стандартный джентльменский набор «Юный троян» и лишние килобайты в антивирусной базе сигнатур. Итак…
Хронология
23 ноября 2010 – Специалист в области безопасности Томас Кэнон обнаружил уязвимость во встроенном в Android браузере. Она позволяла при помощи web-страницы с внедренным специальным javascript-кодом получить доступ к информации на SD-карте устройства.
Нельзя сказать, что эта уязвимость была уж очень серьезной, однако она нашла применение в дальнейшем при создании троянов под Android.
А ещё показательной стала реакция Google Android Security Team, которая была своевременно предупреждена специалистом. Уязвимость не была закрыта вплоть до выхода в декабре новой Gingerbread, куда дыра благополучно перекочевала!
Конец декабря 2010 — Lookout Mobile Security обнаружила на китайских рынках приложений троянскую программу Geinimi. Вредоносный код содержался в легитимных программах и играх. Это первый вирус для Android, который можно назвать действительно полноценным и технологичным. Он собирал личные данные пользователей и другую информацию, отправляя все это на удаленные серверы. Архитектура малвари позволяла разворачивать ботнет.
Конец января 2011 — Исследователи из City University of Hong Kong и Indiana University Bloomington представляют два концепта вредоносного троянского обеспечения, демонстрирующих две интересные идеи.
Программа Dubbed Soundminer использует микрофон устройства для перехвата речи, а из полученной записи специальный алгоритм распознавания вытаскивает произнесенные номера кредитных карт. Работает она в связке с другим прототипом – Deliverer. При этом оба трояна взаимодействуют между собой в обход существующих механизмов безопасности платформы, разработанных для предотвращения коммутации между приложениями. Благодаря этому трюку малварь может передавать информацию на сторонние серверы через другие приложения, а самой ей при этом не требуется доступ к Интернет.
Середина февраля 2011 — Появление трояна Android.Andrd – это первый конь, который, помимо осуществления стандартного набора действий, начал манипулировать поисковой выдачей браузера на зараженном устройстве. Это делалось для SEO-продвижения сайтов в поисковой системе Baidu. Таким образом, было реализовано ещё одно практическое применение мобильных вирусов.
Начало марта 2011 – пожалуй, самое громкое событие в мире безопасности Android – появление малвари на самом Android Market. До этого зараженные приложения обитались на различных варезных порталах, преимущественно китайских, а тут…
В течение нескольких дней появились данные о 21 инфицированной версии Android-приложений. Затем это число выросло до 56. Все программы были загружены с трех аккаунтов и представляли собой копии легитимных приложений с внедренным вредоносным кодом – заурядным трояном под названием DroidDream.
Безопасники Google опять допустили промашку, вовремя не среагировав на предупреждение – на самом деле троян был обнаружен очень быстро, это сделали разработчики приложения Guitar Solo Lite, проанализировав странные отчеты об ошибках своего зараженного детища. Они уведомили специалистов Google, но те момент прозевали и стали действовать только после того, как подобная информация появилась на крупном портале. К тому моменту было заражено большое количество пользователей, а общий объем за всё время составил около 200.000 зараженных устройств, став самым масштабным в мире Android.
Android Market был почищен (в этом принимали участие и сотрудники Symantec, Samsung и Lookout), а разработчики создали специальную утилиту Android Market Security Tool, устанавливающуюся автоматически и очищающую устройство пользователя. Она, словно в насмешку, была тут же протроянена неизвестными умельцами и выложена на альтернативные рынки приложений, вызвав новую волну заражения.
Начало апреля 2011 – Через несколько файлообменников в Азии распространилось инфицированное приложение Text and Walk. Зверек проводил с зараженного устройства рассылку SMS на номера из списка контактов (банковал, естественно, пользователь). В сообщениях находился следующий текст:
«Привет, я только что скачал с Интернета пиратское приложение Walk and Text для Android. Я тупой и нищий, а ведь оно стоит всего один бакс. Не воруйте как я!»
Такой вот вирус-правдоруб. Он даже предлагал пользователю скачать настоящее легитимное предложение. Впрочем, такое «примерное» поведение не мешало ему заниматься обычными троянскими делами вроде кражи персональной информации.
Начало мая 2011 – Специалисты из «Доктор Веб» обнаружили «первый полноценный бэкдор под Android» — Android.Crusewind. Трудно сказать, почему данная малварь получила такой титул. Ведь если брать типичную для бэкдоров черту – предоставлять доступ к командному интерпретатору системы, то у Crusewind такого не было, он не содержал в себе соответствующего эксплоита для получения root-доступа. А если брать более широкое определение бэкдоров как программных механизмов для управления взломанным устройством, то да, Crusewind принадлежит к этому классу, но уж точно не является первым. У того же Geinimi были вполне работоспособные механизмы, завязанные на командах.
Crusewind интересен и тем, что распространялся через SMS. Простой механизм – пользователю приходит ссылка на загрузку программы, если он скачивает её и заражает свое устройство, то SMS рассылаются по его списку контактов. Тут всё завязано на социальной инженерии. До этого момента подобного механизма распространения не встречалось. С другой стороны практически одновременно с Crusewind в Китае появилось семейство вирусов Android.Evan, экземпляры которого также распространялись через SMS и социальную инженерию. Трудно сказать, в каком ПО эта идея была реализована первее.
Конец июня 2011 – Специалист компании TrendLabs обнаруживает экземпляр вируса, который реализует механизм скрытой ретрансляции SMS-сообщений. То есть зараженное устройство выступает шлюзом. Верное командам злоумышленников, оно отсылает сообщения по указываемым адресатам, а входящие сообщения от этих адресатов передает на удаленный сервер. Использовать такой механизм, который получился очень гибким, можно массой способов – оплачивать SMS-биллинг, просто осуществлять отправку и прием сообщений, красть переписку пользователя. Однако сам троян, которого относят к тому же семейству Crusewind, выглядит на тот момент ещё сыровато – к нему не прикручены механизмы распространения. Да и практического использования этого новенького механизма пока не видно, но…
10 июля 2011 – обнаружен троян HippoSMS, который использует похожий механизм работы с SMS для того, чтобы рассылать сообщения с зараженных устройств на платные номера. Это одна из первых (и не последних, ближе к концу июля появилось семейство Android.Ggtrack, построенное на схожем принципе) реализаций такого направления в использовании зараженных мобильных устройств.
Середина июня 2011 – Fortinet рапортует об обнаружении модификации Zeus для операционной системы Android. Это важное событие, одно из самых значимых – с «больших» компьютеров на мобильную платформу перебирается малварь, которая невероятно технологична и опасна. Целью становятся финансовые данные пользователя. И, очевидно, что теперь на Android обратили внимание вирмейкеры самого высокого уровня.
Впрочем, данный мобильный троян получился не в пример своему «большому брату» топорным и с очевидными проблемами в архитектуре.
Начало августа 2011 – появляется новый вектор. На этот раз мишенью вредоносного ПО, а скорее его сырого прототипа, становятся разговоры пользователя – они записываются и сохраняются в файл, который затем передается на сторонние серверы. Прослушки на устройствах Android до этого момента ещё не было.
Середина августа 2011 – в поле зрения появился троян ANDROIDOS_NICKISPY.A, маскирующийся под приложение-клиент сети Google+, который использует вышеприведенный механизм прослушивания разговоров.
Конец августа 2011 — исследователи из университета Дэвиса в Калифорнии разработали приложение TouchLogger для Android, являющееся прототипом кейлоггера для устройств с сенсорным экраном. Реализована инновационная идея, построенная на использовании информации с датчиков устройства, а не на традиционных механизмах перехвата. Это действительно восхищает, настолько интересным и свежим получился концепт.
Начало сентября 2011 – вслед за Zeus на Android приходит SpyEye – другой продвинутый троян из мира «больших» компьютеров. Реализовано получение root-доступа на мобильном устройстве и встречавшийся ранее механизм работы с приемом и отправкой SMS.
Уникальным здесь является гибридное использование версий малвари под десктопы и под мобильное устройство. Заражается девайс как раз через соединение с компьютером. Напомню, что SpyEye нацелен на платежные системы, а большинство из них используют механизм привязки аккаунта к телефону. И операции со счетами пользователя требуют подтверждения с помощью SMS.
Раз SpyEye заразил компьютер, то он мог бы осуществлять кражу денег, если бы не SMS-подтверждения. Значит логично дорваться до мобильного устройства, а с ним и к необходимым операциям с SMS. Именно по такой идее и была разработана мобильная версия зверька, которая действительно стала хорошим методом обхода защитных механизмов платежных систем.
Конец сентября 2011 – совсем недавно все могли слышать об этом трояне. Он может и не попал бы в хронологию, если бы не отметился интересной реализацией механизма передачи команд с C&C-серверов на зараженные устройства посредством обычных открытых площадок-блогов в Интернете, содержащих зашифрованные записи с командами.
С другой стороны, AnserverBot (так его зовут) является малварью, которая характеризует и современную архитектуру, и тенденцию вирусостроения в целом. Вирь технологичен, содержит инструменты для усложнения обратной разработки, двухуровневую систему C&C серверов, неплохую боевую нагрузку. Интересные идеи он, безусловно, привнес.
Выводы
Как видно из хронологии, вредоносное ПО для Android постоянно совершенствуется и наблюдать за этим процессом на удивление интересно и полезно – здесь идеи, здесь концепты, здесь тенденция и креатив. Какими будут новые вирусы под Android сказать трудно, но совершенно точно мы увидим в них всё то, что появилось за последний год. Пока же наблюдается тенденция к технологичности и отточенности механизмов, к качеству. Но это не исключает того, что мы ещё увидим интересные идеи.
Вместо заключения
Хочется просто поделиться своим мнением – наиболее значимым событием можно назвать появление Geinimi, вируса, который стал одним из первых и очень технологичных, наиболее громким событием – заражение Android Market, наиболее интересными концептами – TouchLogger от калифорнийских исследователей и. безусловно, мобильный SpyEye.
Благодарю за внимание, любите изящные идеи, надеюсь, что вам эта тема показалась интересной.
