Стёр троян — сломал смартфон: специалисты о необычных мобильных заражениях

Фото

           Недавно мы рассказали, чем опасны мобильные трояны. Самые впечатлительные, должно быть, запомнили пару случаев: вроде того, когда 500 000 человек скачали в Google Play троян, замаскированный под полюбившийся Pokemon Go. Кража денег с банковской карты, взлом доступа к личным данным, воровство трафика, управление смартфоном, — лишь краткий список того, что умеет вредоносное ПО. Но мало знать о заразе, нужно ещё и понимать, как её нейтрализовать. В этом нам помогут эксперты из «Доктор Веб» — они согласились прокомментировать для пользователей 4PDA некоторые громкие истории заражений и алгоритмы распространённых троянов. 

Истории, о которых невозможно молчать

В статье собрано несколько историй заражений мобильных устройств на Android, случившихся за последний год. Жертвы этих маленьких происшествий точно их запомнили как «вот тогда на мне неплохо наварились». Мы рассказали экспертам о нашумевших злодействах мобильных троянов, а они объяснили нам, как это происходит - и что делать, чтобы не стать жертвой мошенников.

Банковский троян Fakebank: и больше сюда не звони

Обычно «банковские» трояны определяют, подключена ли услуга онлайн-банка и сколько денег есть на счету. Если вредоносная программа обнаруживает деньги, она пытается незаметно перевести их злоумышленникам. В таком случае нужно срочно блокировать карту банка и замораживать счёт. Летом 2016 года троян Fakebank пошёл гораздо дальше: пользователи заражённых смартфонов не могли дозвониться на горячую линию банка, потому что вредоносный код блокировал звонки. За это время злоумышленники успевали снять деньги со счёта. Fakebank писался под российские и корейские банки - в чёрном списке трояна значился телефон «Сбербанка». Примечательно, что эта программа была создана аж в 2013-м, но продолжает мутировать и совершенствоваться каждый год. Сегодня нельзя с полной уверенностью утверждать, что зараза уничтожена. Сложно предположить, какие формы она приобретёт в нынешнем году, чтобы найти новый способ проникнуть на ваш смартфон и украсть деньги с банковского счёта.

Александр Свириденко, программист-исследователь:

Google предоставляет API для блокировки исходящих звонков, неудивительно, что им воспользовались вирусописатели.

Malware Godless: безбожник среди нас

В прошедшем году вредоносному коду Godless (что буквально переводится как «безбожник») удалось заразить 850 000 устройств. Этой атаке были подвержены все гаджеты под управлением Android 5.1 Lollipop и более старых версий. Получив root-привилегии, Godless «прописывался» как системное приложение и ждал команд от управляющего сервера. Вирус получал список программ, которые нужно установить на пострадавший девайс, и собирал личные данные каждого аккаунта. Google довольно оперативно выпустила «заплатку», но поскольку доставкой обновлений для Android занимаются производители гаджетов, говорить о полной победе над угрозой невозможно.

Павел Шалин, аналитик:

У нас этого троянца зовут Android.Sigh.1. Он использует набор эксплойтов для получения root-привилегий на атакуемом устройстве, напоминающий сборку эксплойтов с открытым исходным кодом android-rooting-tools. Установка других приложений выполняется по команде злоумышленников, если троянцу удалось получить в системе привилегии суперпользователя.

Android.Loki: удаление - только через чужой труп

Редкий случай, когда название вредоносного ПО отражает его деятельность: Loki (как и его скандинавский тёзка) очень хитёр, изворотлив и практически неуязвим. Проникнув на территорию вашего смартфона, он сперва запускается другими троянцами. Потом устанавливает связь с управляющим сервером и скачивает оттуда несколько эксплойтов для root-доступа и вредоносный компонент. После череды незаметных, но коварных действий Loki не просто получает root-доступ к смартфону, но и меняет системные компоненты под свои нужды - теперь его нельзя удалить, не повредив операционную систему. Если вы сотрёте Loki, то смартфон просто не будет нормально работать, и его придётся перепрошивать. Если же оставите «скандинава» на месте, то он, как и многие его коллеги, будет скачивать приложения, кликать по рекламе и творить прочие гадости.

Павел Шалин, аналитик:

Под «поломкой» здесь понимается высокая вероятность возникновения сбоев при загрузке и работе ОС, поскольку троянцы этого семейства заражают системные процессы и библиотеки. Опять же, как и в предыдущем случае, Android.Loki использует эксплойты для получения root на атакуемом устройстве со всеми вытекающими последствиями.

Malware HummingBad: 85 миллионов заражённых

HummingBad был обнаружен только после того, как уже успел заразить сразу 10 миллионов Android-смартфонов - это произошло в начале июля 2016 года. Столь успешный путь трояна объясняется тем, что он был довольно безобиден для владельца гаджета. Вредоносная программа «присасывалась» через загрузки из неофициальных маркетов, получала root-доступ, а потом ставила приложения на смартфон и кликала по рекламе. Сам пользователь ничего не терял (если не считать потраченного трафика). Пока пытались добраться до угрозы и уничтожить её, заражённая армия из 85 миллионов Android-пользователей всех версий ОС обеспечила распространителям HummingBad неплохой доход - может быть, вы в числе тех, кто помогал зарабатывать мошенникам $300 000 ежемесячно.

Александр Свириденко, программист-исследователь:

Троянцев, которые получают root-доступ, очень тяжело удалить простому пользователю. Наше приложение знает, как поступить с такими угрозами, при условии, что пользователь выдаст Dr.Web root-права. К сожалению, это означает потерю гарантии на устройство. Такими угрозами лучше не заражаться, в худшем случае это может превратить устройство в кирпич.

Adware.Cootek.1.origin: ты их в дверь, они в окно

Cootek из разряда «суперзвёзд» - он побывал на 50 миллионах устройств, а это население немаленькой европейской страны. Причина оглушительной «популярности» проста: троян скрыт в приложении TouchPal, которое совершенно легально висело в Google Play. Работает Cootek очень просто: швыряет в вас баннерами, постоянно выводит на экран какие-то рекламные сообщения, простейшие мини-игры (тоже рекламные) и всячески мешает жить. От него не скрыться даже за экраном блокировки - «уникальные предложения» найдут вас и там. Избавиться от Cootek, не удаляя TouchPal, никак нельзя, так что, если вы не хотите видеть у себя в телефоне глянцевый журнал, придётся жертвовать приложением.

Павел Шалин, аналитик:

Встраиваемый рекламный модуль оказался действительно агрессивным: он создаёт на домашнем экране виджеты, которые не удаляются до тех пор, пока владелец устройства не нажмёт на них, генерирует окна и показывает надоедливые баннеры, встраивает рекламу в экран блокировки. Этот плагин фактически мешает пользоваться мобильным устройством из-за постоянно всплывающих уведомлений и неудаляемых виджетов, а стереть его можно только вместе с самим приложением. Этот плагин и подобные ему распространяются через Google Play и встраиваются в приложения самими разработчиками в целях монетизации. А страдают простые пользователи. :)

Почему люди ведутся и кому это выгодно

Кинематограф приучил нас к этакому благородному образу хакера - пронзительный взгляд Рами Малика, губы Анджелины Джоли, белокурые локоны Бенедикта Кэмбербэтча. В реальности всё гораздо проще: вирусы пишутся ради денег. Очередной троян прыгает к вам в смартфон, жмёт там на рекламные баннеры, и копеечка улетает на счёт автора вредоносной программы. Миллионы заражённых устройств - миллионы копеечек. Иногда троянцы крадут напрямую. Банковские приложения - в числе самых распространённых объектов для атак разной мобильной заразы. Их меньше, но и потенциальный улов с каждого заражённого выше. В любом случае, от количества инфицированных аппаратов напрямую зависит заработок кибермошенников. К каким ухищрениям они прибегают, чтобы «убедить» максимальное число пользователей установить вредоносный код на свой смартфон?

 Александр Свириденко, программист-исследователь:

Самый простой способ - сделать приложение-подделку с тем же названием и иконкой, что и у популярного оригинала. Такие подделки можно вычислить, если обращать внимание на запрашиваемые для них разрешения, но неподготовленному пользователю это мало поможет, так как и обычное может требовать аналогичные права. Далее только при старте программы станет ясно, что она содержит не то, что хотел пользователь. Если повезёт, и троян не прорутует устройство, можно будет попытаться его удалить.

Другой способ - модификация уже существующих приложений. Обычно разработчики программ (особенно не очень популярных) не слишком заботятся о защите от взлома. Сейчас появились целые сервисы, где можно зарегистрироваться, засунуть туда apk какой-нибудь сторонней программы, в неё автоматически встроится зловредный модуль. Поставив такую программу, пользователь даже не заметит подвоха, а через пару недель она начнёт выкидывать рекламу на весь экран, и будет очень тяжело догадаться, что это делает приложение от уважаемого разработчика. Этим могут пользоваться множество злоумышленников, им даже не нужно иметь никаких знаний, достаточно распространять такие apk по форумам и получать свой процент с рекламы.

Павел Шалин, аналитик:

К сожалению, некоторые версии Android содержат уязвимости, которыми могут воспользоваться вирусописатели. В Dr.Web Security Space для Android за их обнаружение отвечает компонент Аудитор безопасности. В большинстве случаев уязвимость на уровне операционной системы можно устранить только путём обновления ОС, но обновления для firmware выпускают лишь немногие производители устройств - в основном это касается флагманских моделей смартфонов от ведущих производителей. Потому значительная часть пользователей подвержена этим угрозам.

Александр Свириденко, программист-исследователь:

Трояны работают в основном как доносчики и посредники: фиксируют всю информацию о вас и отправляют разработчикам. Ну или помогают зарабатывать за счёт вас - кликают по рекламе.

Как не заразиться: семь правил безопасности

Прежде всего необходимо следовать элементарным правилам «цифровой гигиены». Мы, пользователи 4PDA, их отлично знаем и соблюдаем (и даже нарушаем иногда - потому что понимаем, как безопасно нарушить.) Но у нас есть друзья, знакомые, родственники, которые регулярно приходят к нам за советами или за решением проблем со смартфоном.

Мы собрали правила безопасности в единый чек-лист.

1. Устанавливайте приложения и прошивки только из доверенных источников. Тем, кто не слишком хорошо разбирается в смартфонах, следует ставить приложения только из Google Play.
2. Отключите пункт «Установка из неизвестных источников» в настройках смартфона.
3. Немедленно закрывайте страницы сайтов, предлагающих установить антивирус, или быстрый браузер, или крутую игру, или любое другое приложение.
4. Не переходите по ссылкам в SMS и MMS, даже полученным от знакомых.
5. Не доверяйте свой смартфон другим людям.
6. Не получайте права суперпользователя, если точно не знаете, зачем вам это нужно.
7. Читайте манифест приложения, прежде чем нажать на кнопку начала установки. Если простой фонарик или калькулятор калорий требует разрешение на доступ к адресной книге или SMS, «тут что-то не так».

Александр Свириденко, программист-исследователь:

Кстати, на Android 6.0 это правило больше не работает. Если приложение умеет работать с «шестёрками» и выше, то оно уже в процессе работы запрашивает права.

Ну а чтобы точно не заразиться, лучше ничего не ставить. :) А так - читайте отзывы, смотрите на рейтинги. Если у приложения хороший рейтинг и миллионы скачиваний, вряд ли оно будет с проблемами. Если хочется поставить какое-то новое приложение, то, естественно, надо иметь на устройстве антивирус (хотя это тоже не гарантирует стопроцентной защиты). Если хочется поставить какой-то apk с сайта, то можно его ещё закинуть на virustotal.com. Там сразу несколько антивирусов проверят его.

Правило 8: зачем мобильному гуру антивирус?

Ещё несколько лет назад пунктов из приведённого выше списка было вполне достаточно, чтобы не задумываться о вредоносном коде на смартфоне. Но десятки миллионов заражений через приложения из Google Play, - прозрачный намёк на то, что ситуация меняется не в лучшую сторону. И это только те случаи, которые были зафиксированы специалистами. А сколько заражений не попало в статистику? Возможно ли по косвенным признакам определить, что в смартфоне поселилось вредоносное ПО, и как это сделать?

Павел Шалин, аналитик:

Любое странное поведение девайса должно насторожить пользователя. К «странному» можно отнести появление в неожиданных местах рекламных баннеров или всплывающих окон, «теряющиеся» безо всяких причин SMS и т. д. Опаснее всего мобильные банковские троянцы, эксплуатирующие мобильные приложения «банк-клиент», но о заражении таким вредоносным ПО пользователь обычно узнаёт только тогда, когда с его банковского счёта оказываются похищены все деньги.

Наверняка у вас в голове сейчас крутится что-то вроде «отлично, но мне-то зачем антивирус». Действительно, если бы уровень вашей технической подкованности был аналогичен уровню пенсионерки, которой внук подарил смартфон, вряд ли бы вы вообще оказались на этом портале. Но знайте - даже для таких прожжённых мастеров защитное ПО может пригодиться.

Во-первых, не забывайте, что и на старуху бывает проруха. Все мы люди, все ошибаемся, и принять фальшивый баннер онлайн-банка за настоящий может каждый. Тут-то антивирус и протянет вам руку помощи, а скорее - даст отрезвляющий щелчок: ты что, не видишь, что ли?

Александр Свириденко, программист-исследователь:

Помимо борьбы с вредоносными программами у антивирусов есть дополнительная функциональность. Например, Dr.Web Security Space для Android защищает от перехода на мошеннические сайты, где вас могут через оператора подписать на ненужные услуги. Ну и в целом показывает проблемные места системы. Это важно, если человек пользуется банковскими приложениями.

Во-вторых, допустим, вы заразились (для этого иной раз достаточно просто скачать приложение из Google Play). Согласитесь, вручную перебирать программы в поисках источника проблем - то ещё занятие. Вы, конечно, заразу найдёте, но потратите время. То же самое касается приложений, которые вы загружаете из файлообменников, где трояны, мягко говоря, не редкость - антивирус сразу определит, что пытается прописаться в вашем гаджете.

Другой нюанс. Наверняка менее продвинутые пользователи несут свои заражённые смартфоны к вам - «ты же понимаешь, посмотри». Безусловно, внимание окружающих льстит, но время-то не вернёшь, а его такие просьбы отнимают немало. Скажите своим друзьям и родственникам, чтобы поставили наконец антивирус. Во-первых, источник заразы быстрее отыщется. Во-вторых, избавитесь от будущих просьб о «дружеской помощи».

В итоге, как видите, страж цифрового здоровья нужен не только тем, кто слабо отличает WhatsApp от «Телеграма», но и более искушённым пользователям. Можно надеяться на свои силы и умения, но антивирус, разработанный отличными профессионалами, значительно упростит вам жизнь.