Специалист по безопасности мобильного сервиса Lookout обнаружил представителей нового семейства Android-троянцев в 32 приложениях, выложенных четырьмя разными разработчиками на Google Play. Согласно статистике онлайн-магазина, зараженные продукты были скачаны от 2 до 9 млн. раз.

BadNews (дословно «плохие новости») маскируется под безобидный, хотя и несколько агрессивный SDK-пакет для рекламной сети. Чтобы обойти защиту Google Play, авторы зловреда создали подставную рекламную сеть, через которую осуществляется загрузка вредоносного кода на зараженные устройства. При запуске BadNews отсылает на командный сервер информацию о зараженном устройстве (номер телефона, IMEI), а затем обращается к нему раз в четыре часа для получения дальнейших инструкций. Функционал нового троянца позволяет ему отображать на экране поддельные сообщения от имени легальных веб-сервисов (Skype, ВКонтакте), провоцируя пользователя на установку других вредоносных программ. Так, при анализе одного из образцов BadNews исследователи обнаружили, что он продвигает хорошо известного троянца, отсылающего текстовые сообщения на российские премиум-номера. Анализ также показал, что новый зловред по коду схож со многими SMS троянцами восточноевропейского происхождения.

Согласно данным SecureWorks, многофункциональный троянец Stels, работающий на платформе Android, ныне распространяется вместе с р2р-модификацией ZeuS в рамках единой спам-кампании с участием ботнета Cutwail.

Обнаруженные экспертами вредоносные письма имитируют уведомление Налоговой службы США (IRS) и приурочены к заключительному этапу подачи налоговых деклараций в этой стране. От имени этого органа злоумышленники сообщают получателю об ошибках, якобы допущенных в поданном им документе, и предлагают кликнуть по указанной ссылке, чтобы воспользоваться другой формой.

Пройдя по ссылке, пользователь попадает на взломанный ресурс, который определяет версию ОС визитера и используемый им веб-браузер. Если заход осуществлен с мобильного устройства на базе Google Android, посетителю демонстрируется страница с предложением обновить Flash Player для корректного отображения контента. Под видом апдейта на смартфон загружается исполняемый файл flashplayer.android.update.apk, содержащий троянца Stels. Для его установки требуется разрешение пользователя, а кроме того, поскольку программа загружена не с официального сайта Google Play, жертва должна задействовать опцию "Unknown Sources" в настройках безопасности, т.е. разрешить установку приложения из стороннего источника.

Если получатель фальшивого письма использует Microsoft IE, Mozilla Firefox или Opera, то после перехода по спамерской ссылке ему будет продемонстрирована поддельная страница IRS с вредоносным iframe, перенаправляющим браузер на эксплойт-площадку Blackhole. Мало того, все ссылки на данной странице запускают вредоносный pdf-файл, который атакует уязвимость CVE-2010-0188 в Adobe Reader/Acrobat. В случае успешной эксплуатации на машину жертвы загружается р2р-версия ZeuS, известная как Gameover. Если визитер не использует ни Android, ни названные браузеры, его перенаправляют на мошеннический сайт по трудоустройству.

Эксперты SecureWorks проанализировали образцы Stels и установили, что данный Android-троянец способен воровать информацию из списка контактов жертвы, отправлять и перехватывать SMS-сообщения, осуществлять звонки на премиум-номера, а также загружать и запускать на исполнение другие вредоносные файлы. Он работает в фоновом режиме, общается с центром управления по HTTP и, судя по всему, умеет также рассылать почтовый спам, используя анонимный прокси-сервис anonymouse.org. Эксперты обнаружили других похитителей SMS, схожих по кодовой базе со Stels, и полагают, что все они происходят из одного источника или созданы на основе одного и того же тулкита.

Следует отметить, что спам-рассылки — довольно необычный способ распространения Android-зловредов, которые, как правило, скачиваются жертвами из неофициальных магазинов приложений. Так, более ранние варианты Stels, обнаруженные экспертами F-Secure в конце прошлого года, раздавались с веб-портала spaces.ru под видом бесплатных версий игр и вспомогательного ПО для Android.

В прошлом мы видели целевые атаки против тибетских и уйгурских активистов на платформах Windows и Mac OS X. Мы задокументировали несколько интересных атак (Подарок на день рождения Далай-ламы и Волна кибератак на уйгуров — пользователей MacOSX), в которых использовались ZIP-файлы, а также документы в форматах DOC, XLS и PDF, начиненные эксплойтами.

Несколько дней назад был взломан электронный ящик известного тибетского активиста; с него впоследствии совершались целевые атаки против других активистов и правозащитников. Самое интересное заключается в том, что письма, через которые выполнялись целевые атаки, содержали вложение формата APK — зловред под Android.

Атака

24 марта 2013 года был взломан электронный ящик известного тибетского активиста и использован для целевого фишинга (spear phishing). Фишинговые письма рассылались по списку контактов и выглядели так:

Вирусописатели всегда старались сбивать детектирование антивирусов. В последнее время в случае с Trojan-SMS под платформу Android для этих целей активно используются Trojan-Downloader: создается маленькое незаметное приложение, весь функционал которого заключен в выкачивании и установке Trojan-SMS, который, в свою очередь, уже будет опустошать счет пользователя. Один из таких троянцев и привлек наше внимание.

При установке он требует минимум разрешений и показывает иконку от легального приложения «WiFi Mouse HD».

Чем же он интересен? Большая часть подобных троянцев обладает минимальным функционалом. В этом же файле достаточно много кода. Соответственно, его поведение не так уж и просто.

По данным компании Digital Security, питерского специалиста по аудиту информационной безопасности, все мобильные клиенты российских банков для iOS и Android содержат хотя бы одну уязвимость, позволяющую перехватывать данные при обмене клиента с сервером или напрямую эксплуатировать уязвимости мобильного устройства и самого приложения.

Эксперты в течение года тестировали бесплатные платежные iOS- и Android-приложения сорока российских банков, использующие сетевые средства доступа к счету, и пришли к выводу, что разработчики такого софта не уделяют достаточно внимания вопросам безопасности. Cтатический анализ кода клиентской части приложений, проведенный по методу черного ящика, показал, что 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, т.е. позволяют перехватывать платежные данные по методу «человек посередине». 22% приложений для iOS и 20% для Android потенциально уязвимы к SQL-инъекциям, что создает риск кражи информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android содержат XSS-уязвимости; 45% iOS-приложений уязвимы к XXE-атакам (XML eXternal Entity, уязвимость к XML-инъекциям). Последние особо опасны для разлоченных устройств (подвергнутых столь популярному в России jailbreak’у). Наконец, около 22% Android-клиентов неправильно используют механизмы межпроцессного взаимодействия, позволяя сторонним приложениям обращаться к критичным банковским данным.

В середине февраля 2013 года один из наших пользователя из Малайзии обратился к нам с просьбой проверить приложение «My HRMIS & JPA Demo» от автора «Nur Hazri» из Google Play.

Подозрение пользователя вызвало большое количество разрешений, необходимых для работы этого приложения, хотя заявленный функционал – всего лишь открытие четырех сайтов.

В минувшем году Cloudmark обнаружила свыше 359 тыс. уникальных вариантов текстового спама, разосланного американским и британским абонентам. Пик спамерской активности в SMS-сервисе пришелся на декабрь; за этот месяц эксперты зафиксировали более 53 тыс. уникальных спам-рассылок.

Статистика, приведенная в годовом отчете Cloudmark, основана на данных специализированной службы 7726, учрежденной в начале 2012 года международной ассоциацией провайдеров сотовой связи GSMA. Cloudmark является оператором этого сервиса, широко доступного в США и Великобритании, и осуществляет проверку жалоб на SMS-спам, поступающих от абонентов, сбор и анализ сопутствующей информации, а также рассылку отчетов провайдерам-участникам.

С тех пор как я писал о Backdoor.AndroidOS.Ssucl.a прошло совсем немного времени, но нам снова удалось обнаружить вредоносное приложение в Google Play.

8 февраля 2013 года ЛК обнаружила Trojan-Downloader.AndroidOS.Kaneot.a:

Пользователи недорогих смартфонов на базе ОС Android ищут способы ускорить свой девайс, например, высвободить на нём память. Исходя из спроса на софт, который позволит работать смартфону чуть быстрее, рождается и предложение, куда входит и вредоносное ПО. Наряду с чистыми приложениями, в магазине Google Play появились приложения, которые лишь делают вид, что чистят систему.

Случаи, когда вредоносное ПО, работающее на PC, инфицирует мобильное устройство, нам были известны и ранее. Совсем другое дело – когда приложение, работающее на мобильном устройстве - смартфоне, умеет инфицировать PC.

22 января 2013 г. Лаборатории Касперского удалось обнаружить в Google Play следующее приложение:

Как видно, приложение имеет неплохую популярность. И ему ставят хорошие оценки:

Это приложение имеет брата-близнеца с точно такими же функциями, но c другим названием:

Мы уже не раз и не два писали об атаках вида Man-in-the-Mobile, целью которых является кража кодов авторизации банковских операций, передаваемых в SMS-сообщениях. До недавнего времени было известно о мобильных версиях двух печально известных банковских троянцев ZeuS (ZeuS-in-the-Mobile, ZitMo) и SpyEye (SpyEye-in-the-Mobile, SpitMo), которые занимались непосредственно кражей SMS-сообщений с кодами от банка. Троянцы ZitMo и SpitMo работают в связке со своими десктопными 'братьями', так как без них они превращаются в обычных SMS-шпионов. Также стоит отметить, что за 2 с лишним года существования подобные атаки были зафиксированы только в некоторых европейских странах: Испания, Италия, Германия, Польша и другие.

Но с появлением мобильной версии троянца Carberp (мы детектируем его как Trojan-Spy.AndroidOS.Citmo, то есть Carberp-in-the-Mobile) подобные атаки стали реальностью и в России. Ни для кого не секрет, что сегодня онлайн-банкинг в России быстро набирает популярность среди пользователей банковских услуг. Банки, в свою очередь, активно развивают данный сервис, в частности внедряя различные способы авторизации операций (в том числе, и mTAN'ы).

Версия троянца Carberp для Windows работает по такому же, как и ZeuS, принципу. Если пользователь, используя зараженный Carberp'ом компьютер, пытается зайти на страничку своего онлайн-банка для авторизации, то зловред модифицирует ее таким образом, что логин и пароль будут отправлены на удаленный сервер злоумышленника вместо сервера банка.

Но помимо логина и пароля злоумышленникам по-прежнему необходимы коды подтверждения для осуществления любого перевода со счета жертвы. Именно поэтому одна из модификаций Carberp (Trojan-Spy.Win32.Carberp.ugu, детектируется нами с 11 декабря) модифицирует страницу онлайн-банкинга, предлагая пользователю скачать и установить программу, якобы необходимую для входа в систему. Причем пользователь может получить ссылку в SMS-сообщении, указав свой номер телефона, либо самостоятельно отсканировать QR-код и получить ссылку:

На скриншоте видно, что под угрозой находились пользователи одного из самых популярных банков в России. 'Сбербанк' 12 декабря вывесил уведомление об этой атаке на своем веб-сайте. Ссылка, зашифрованная в QR-коде, ведет на приложение SberSafe (Trojan-Spy.AndroidOS.Citmo), которое как минимум с 30 ноября находилось в магазине приложений Google Play.