Методы обнаружения вирусов

12 апреля 2019 года

Вирусные аналитики корпорации «Доктор Веб» изучили троянца Android.InfectionAds.1, какой применяет чуточку уязвимостей в ОС Android. С них поддержкой он заражает программы, а уж уж уж уж еще перемножать становить так словно вызволять приложения без участия пользователей. альтернативная опция Android.InfectionAds.1 — показ рекламы.

Злоумышленники встраивают троянца в вначале безопасное ПО, измененные клоны коего далее распространяются сквозь знакомую сторонние сборники Android-приложений – например, Nine Store так словно Apkpure. Наши эксперты заприметили Android.InfectionAds.1 в подобных играх так словно программах ровно HD Camera, ORG 2018_19 Tabla Piano Guitar Robab Guitar, Euro Farming Simulator 2018 так словно Touch on Girls. некие из них установили по наименьшей мере чуточку тысяч хозяев смартфонов так словно планшетов. однако количество зараженных приложений так словно пострадавших юзеров перемножать очутиться несравненно больше.

screenshot Android.InfectionAds.1 #drweb screenshot Android.InfectionAds.1 #drweb

screenshot Android.InfectionAds.1 #drweb

При запуске программы, в коию внедрен троянец, тот извлекает из своих файловых ресурсов запасные модули, дальше чего расшифровывает них так словно запускает. одинаковый из них специализирован для показа назойливой рекламы, а уж уж уж уж альтернативные применяются для инфецирования приложений так словно автоматизированной инсталляции ПО.

Android.InfectionAds.1 блокирует маркетинговыми баннерами интерфейс системы так словно работающих приложений, мешая стандартной работе с устройствами. закончить считая того, по команде управляющего сервера троянец перемножать трансформировать код известных маркетинговых платформ Admob, Facebook так словно Mopub, кои применяются во многих программах так словно играх. Он заменяет оригинальные маркетинговые идентификаторы личным идентификатором, в итоге чего вся польза от показа рекламы в зараженных приложениях поступает вирусописателям.

Android.InfectionAds.1 эксплуатирует критичную уязвимость CVE-2017-13315 в ОС Android, которая дает вероятность троянцу метать системные активности. В итоге он перемножать автоматизированно становить так словно вызволять программы без вмешательства обладателя мобильного устройства. При создании троянца применен демо код (PoC — Proof of Concept) китайских исследователей, какой те сотворили для подтверждения возможности эксплуатации этой системной бреши.

CVE-2017-13315 можно отнести к классу уязвимостей, кои получили массовое наименование EvilParcel. них сущность заключается в том, словно пробор системных компонент содержит ошибку, по причине коей при обмене заданными среди приложениями так словно операционной системой множить быть них видоизменение. Конечное смысл специально сформированного фрагмента передаваемых заданных полно различаться от первоначального. подобным образом, программы способны обходить испытания операционной системы, зашибать больше высочайшие возможности так словно делать действия, кои раньше были им же недоступны. На данный час естественно о 7 уязвимостях подобного типа, однако них количество со периодом перемножать возрасти.

Используя EvilParcel, Android.InfectionAds.1 устанавливает затаенный снутри него apk-файл, какой содержит кончено ингридиенты троянца. закончить считая того, подобным образом Android.InfectionAds.1 в силах инсталлировать личные обновления, кои он загружает с управляющего сервера, а уж уж уж уж еще всевозможные альтернативные программы, в книжка числе так словно вредоносные. Например, при анализе троянец скачал с сервера так словно установил вредоносную программу Android.InfectionAds.4, которая появляется одной из его модификаций.

Пример того, ровно троянец без разрешения устанавливает приложения, показан ниже:

screenshot Android.InfectionAds.1 #drweb

Наряду с EvilParcel троянец эксплуатирует так словно другую уязвимость ОС Android, популярную под наименованием Janus (CVE-2017-13156). C применением этой системной бреши он заражает уже поставленные приложения, внедряя в них свою копию. Android.InfectionAds.1 подключается к управляющему серверу так словно приобретает от него снимок программ, кои ему же же надобно заразить. в случае если же объединиться с удаленным центром ему же же закончить удалось, он инфицирует приложения, кои указаны в его начальных настройках. В зависимости от трансформации троянца данный снимок перемножать держать разные позиции. Вот образец подобного списка в одной из исследованных версий Android.InfectionAds.1:

  • com.whatsapp (WhatsApp Messenger);
  • com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
  • com.mxtech.videoplayer.ad (MX Player);
  • com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
  • com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
  • com.jiochat.jiochatapp (JioChat: HD Video Call);
  • com.jio.join (Jio4GVoice);
  • com.good.gamecollection;
  • com.opera.mini.native (Opera Mini - fast интернет browser);
  • in.startv.hotstar (Hotstar);
  • com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
  • com.domobile.applock (AppLock);
  • com.touchtype.swiftkey (SwiftKey Keyboard);
  • com.flipkart.android (Flipkart Online Shopping App);
  • cn.xender (Share Music & Transfer Files – Xender);
  • com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
  • com.truecaller (Truecaller: Caller ID, spam blocking & call record);
  • com.ludo.king (Ludo King™).

При инфецировании программ троянец добавляет свои ингридиенты в структуру apk-файлов, закончить меняя них цифровую подпись. далее он устанавливает измененные версии приложений заместо оригиналов. так а как же по причине уязвимости цифровая подпись инфицированных файлов останется прежней, программы инсталлируются ровно них личные обновления. При данном аппарат еще производится с применением уязвимости EvilParcel без участия пользователя. В итоге атакованные программы продолжают оптимально работать, однако содержат в для себя копию Android.InfectionAds.1, которая неприметно работает совместно с ними. При инфецировании приложений троянцу превращаются доступны них данные. Например, при инфицировании WhatsApp переписка пользователя, а уж уж уж уж при инфицировании браузера сохраненные в нем логины так словно пароли.

Единственный метод отрешиться от троянца так словно вернуть безопасность зараженных программ — выслать содержащие его приложения так словно опять ввести них заранее чистые версии из достоверных источников, подобных ровно гугл Play. В освеженной версии Dr.Web Security Space для Android возникла вероятность выказывать уязвимости класса EvilParcel. данная опция доступна в Аудиторе безопасности. Скачать новейший дистрибутив программы можно с официального веб-сайта «Доктор Веб», в обозримое пора он полно доступен так словно в гугл Play. Все антивирусные провизия Dr.Web для Android счастливо детектируют так словно удаляют знакомую трансформации Android.InfectionAds.1, таким образом для наших юзеров троянец угрозе закончить представляет.

[Подробнее об A НОВОЕ НА САЙТЕ

19 апреля 2019 года

Компания «Доктор Веб» продолжает ломить над совместимостью своих продуктов с русскими ОС. вдогон за совместимостью продуктов Dr.Web с РЕД ОС 7.1 МУРОМ мы рады известить о получении подобного сертификата для совместной работы Dr.Web с снова одно... Антивирус Dr.Web

18 апреля 2019 года

Компания «Доктор Веб» информирует об обновлении управляющего обслуживания Dr.Web Control Service (12.0.8.03281), модуля Dr.Web Updater (12.0.9.04050), а уж еще конфигурационных скриптов Lua-script for av-engine (12.0.6.04170) так что Lua-script for main (12.0.6.03130) в продуктах Dr.Web Security Space 12.0, Антивирус Dr.Web 12.0 так что Антивирус D... Антивирус Dr.Web

15 апреля 2019 года

Компания «Доктор Веб» информирует об обновлении продукта Dr.Web Security Space для Android на гугл Play перед началом версии 12.3.2. Обновление связано с конфигурацией в политике фирмы Google, усовершенствованием обслуживания так что исправлением выявленных ошибок.

Улучшения функций распознавания угроз:

  • Добавлен... Антивирус Dr.Web

    15 апреля 2019 года

    Компания «Доктор Веб» предлагает тех, кто-то получил чрез маркет гугл Play разрешение на противовирусный продукт Dr.Web Security Space для Android, однако вожделеет воспользоваться полнофункциональным продуктом Dr.Web — то поглощать с Фильтром звонков так словно СМС так словно Антивором, — скачивать полнофункциональные дистрибутивы с интернет-сайта... Антивирус Dr.Web

    12 апреля 2019 года

    Вирусные аналитики корпорации «Доктор Веб» изучили троянца Android.InfectionAds.1, какой применяет чуточку уязвимостей в ОС Android. С них поддержкой он заражает программы, а уж уж уж уж еще перемножать становить так словно вызволять приложения без участия пользователей. альтернативная опция Android.InfectionAds.1 — показ рекламы. Горячая лента угроз и предупреждений о вирусной опасности!