Портали нежиті в Android

  
 
Новинами та дослідженнями про нові зловредів для мобільної операційної системи Android сьогодні вже нікого не здивувати. Але компанія Google робить певні кроки для поліпшення безпеки платформи (до речі, через прийняту моделі безпеки ОС і великий фрагментованости версій ОС це зробити дуже важко). І це, в свою чергу, змушує вірусостворювачів йти на нові кроки для поширення своїх дітищ.
У даній статті я розгляну існуючі і що використовується вже зараз вектори розповсюдження вредоносів для ОС Android. Якщо цікаво, то прошу під кат.
 
 

Вступ

Спочатку шкідливі програми для Android просто зловживали доступним їм функціоналом: отримували унікальні ідентифікатори пристрою, координати геоположення, з найвищим пріоритетом отримували SMS-повідомлення і т.д. А потім все це відсилали своєму творцю.
Але сьогоднішні останні новинки являють собою цілі RAT-системи (Remote Administration Tool), і деякі з них вже використовують для приховування bootkit-технології . Цим програмам вже недостатньо існувати в рамках моделі безпеки Android, і вони піднімають свої привілеї в системі через різні уразливості. Після цього вони вільні читати / змінювати як дані інших додатків на пристрої, так і системні файли — зовсім як їхні побратими для ПК. Можна сказати, що еволюція проходить абсолютно тим же маршрутом.
 
Природним кроком стала поява антивірусів прямо в магазинах поширення додатків. Логіка даного кроку зрозуміла — не давати користувачам качати шкідливі програми. Так, в Google Play в 2012 з'явився антивіруc Bouncer , а в Yandex.Store, наприклад, є свій . Інша проблема ОС Android — велика кількість різних магазинів додатків , через які можуть поширюватися як просто крадені програми, так і з впровадженим шкідливим функціоналом. Підхід до премодерації додатків у всіх свій, і загальновідомі тільки два магазини, які використовують автоматизовані засоби сканування на шкідливий функціонал. Але й вони, як відомо, при бажанні обходяться.
  
 

Про мобільних антивірусах

Потрібно розуміти, що мобільні антивіруси працюють на пристроях також в рамках моделі безпеки Android — ніяких індивідуальних привілеїв вони не отримують. Вони працюють у своєму sandbox і можуть робити з іншими додатками і системою тільки те, що передбачено системою і було дозволено їм при першому запуску. У таких умовах вести боротьбу з шкідливим ПЗ складно, але від епідемій антивірус допомогти може.
 
 

Verify apps

Нова фіча "Verify apps " з'явилася в Android 4.2. Вона в першу чергу корисна для додатків, встановлених не з Google Play. Так, з включеною опцією система буде вас попереджати ще перед установкою, якщо в додатку, на її думку, є шкідливий функціонал (можливо, за цим ховається куплений Google сервіс VirusTotal).
 
 
 
 

Портали

Отже, перейдемо до векторів поширення шкідливого ПЗ. Відразу скажу, це мій особистий погляд на нинішню картину подій. І якщо вам є що сюди додати, то пишіть в коментарях.
 
 
 
1) З магазину.
 
Кожен магазин для Android з точки зору безпеки можна розглядати за двома критеріями:
• наявність вбудованого антивіруса в магазині;
o Однак не варто сприймати антивірус як панацею.
• Чи є він «довіреною» джерелом для вашого пристрою:
o Якщо магазин передбачений в прошивці як довірений, то будь-який інший магазин для прошивки буде «недовірених» джерелом і вимагає установки особливої ​​галочки в налаштуваннях. Як правило, всі хочуть бути єдиним магазином додатків на пристрої.
 
1.1) віросостворювач свій шкідник магазин, і користувач його поставив.
 
Найпоширеніший сценарій. Зловмисник або просто викладає свій додаток з шкідливим функціоналом, або вбудовує його в чуже і теж викладає, — природно, попередньо замаскувавши свій нехороший функціонал за допомогою обфускаціі, тимчасових затримок і т. д. Далі вже сам користувач погоджується, приймає умови і встановлює додаток. Game over.
 
1.2) віросостворювач виклав додаток, який потім, з часом, докачує шкідливий код.
 
Можна навіть викласти в магазин гарне, що не шкідливий додаток, набрати аудиторію, а потім в один прекрасний момент накотити апдейт і перетворити своїх користувачів в армію ботів. Game over.
У даному напрямку мені дуже сподобалася остання знахідка дослідника Daniel Divricean. Він з'ясував, що додаток всього лише з 3 дозволами:
• android.permission.INTERNET — дозволяє додатку відкривати мережеві сокети;
• android.permission.GET_ACCOUNTS — дає доступ до списку акаунтів в Accounts Service;
• android.permission.USE_CREDENTIALS — дозволяє додатку запитувати authtokens з AccountManager, —
здатне без вашого відома встановлювати будь-які додатки, з будь-якими дозволами (можна прямо з усіма), на все прив'язані до вашого аккаунту пристрою! Game over.
 
1.3) віросостворювач купив / зламав хороший додаток, яке вже стоїть на мільйонах девайсів, і додав в нього з оновленням шкідливий функціонал.
 
Це не фантазія божевільного, а сумна реальність . Думаю, що з часом даний вектор буде ставати все популярнішим. У зв'язку з чим, зросте кількість зломів / крадіжок акаунтів розробників. Game over.
 
2) З невідомих джерел.
  
Для установки програми з невідомого джерела в ОС Android користувачеві досить поставити одну галочку в меню налаштувань.
 
 
 
2.1) Користувач сам поставив звідкись додаток.
 
Чому це робить користувач? Може бути 1000 і 1 причина, і розглядати їх все нерозумно. Самі ж зловмисники, часто за допомогою соціальної інженерії, змушують поставити їх додаток нібито для безпечної роботи з ДБО або для халявного виходу в Інтернет в кафе і т. д. Загалом, даний вектор обмежується тільки фантазією зловмисника і дурістю / необізнаністю його жертви. Game over.
 
2.2) Комп'ютер, заражений вірусом, який ставить на пристрій мобільний шкідник.
 
Даний вектор теж реальний і досить оригінальний. Правда, звичайно, має декілька умов: дозвіл установки з недовірених джерел і дозвіл на налагодження по ADB. Але при цьому все відбувається прозоро для жертви. Game over.
  
3) Через уразливість.
 
Як би дивно це не виглядало, але Android залишає можливість попадання виконуваного коду з боку в ваш додаток і його виконання там
Якщо в iOS (без jailbreak) може виконуватися тільки підписаний Apple код (ad-hoc додатки — це окрема історія), то в Android код можна отримувати зі своїх серверів і виконувати його в контексті свого додатку, при цьому ніякого підпису коду за замовчуванням немає.
І це часто використовується:
• Різними рекламними мережами;
• При оновленні програми (наприклад, при додаванні нового рівня в гру);
• У процесі тестування програми.
 
3.1) Через подгрузку коду.
 
Для реалізації даного сценарію зловмисникові необхідна вразливість, яка веде до RCE, і можливість проведення MiTM-атаки.
Якщо з MiTM все досить зрозуміло і буденно (передача даних у відкритому вигляді або неправильна робота з SSL), то на RCE в Android трохи зупинимося. Це може бути, наприклад, досягнуто наступними шляхами:
• JavaScript Interface:
o Про це ми вже детально говорили тут ;
• Class loaders:
o Код зловмисника потрапляє в DexClassLoader ();
• Package context:
o Вразливе додаток може завантажити і виконати код іншої програми (що належить зловмиснику). У даному сценарії MiTM не потрібен — головне, щоб на пристрої жертви вже стояло наше додаток, який допоможе нам без підвищення привілеїв перебратися в контекст уразливого.
 
Ось, наприклад, такого роду незакрита (на момент написання статті) уразливість в PayPal .
Для більш глибокого розуміння суті проблеми і її масштабів раджу звернутися до дослідження "Execute This! Analyzing Unsafe and Malicious Dynamic Code Loading in Android Applications ". Game over.
  
3.2) Через вразливість іншої програми.
 
Не варто забувати, що в Android дуже великий набір механізмів для IPC, що може призвести до дуже цікавим вразливостям. Сама ОС Android сама уразливості, які можуть бути, наприклад, використані зловмисниками для прихованого поширення зоопарків своїх монстрів.
 
4) Backdoor.
Сумно, але факт: у вашому пристрої вже при покупці може бути такий «подаруночок». Як він туди потрапив (спеціально / випадково), ким і для чого він буде використовуватися, на рівні вбудованого програми, або ОС, або firmware, — це вже окрема історія.
Останній яскравий приклад з Samsung . Game over.
 
Спасибі за увагу!
 
PS: Тим, хто хоче повивчати мобільну malware, раджу звернути увагу на дані архіви: 1 , 2 .
  
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.