12 апреля 2019 года
Злоумышленники встраивают троянца в вначале безопасное ПО, измененные клоны коего далее распространяются сквозь знакомую сторонние сборники Android-приложений – например, Nine Store так словно Apkpure. Наши эксперты заприметили Android.InfectionAds.1 в подобных играх так словно программах ровно HD Camera, ORG 2018_19 Tabla Piano Guitar Robab Guitar, Euro Farming Simulator 2018 так словно Touch on Girls. некие из них установили по наименьшей мере чуточку тысяч хозяев смартфонов так словно планшетов. однако количество зараженных приложений так словно пострадавших юзеров перемножать очутиться несравненно больше.
При запуске программы, в коию внедрен троянец, тот извлекает из своих файловых ресурсов запасные модули, дальше чего расшифровывает них так словно запускает. одинаковый из них специализирован для показа назойливой рекламы, а уж уж уж уж альтернативные применяются для инфецирования приложений так словно автоматизированной инсталляции ПО.
Android.InfectionAds.1 блокирует маркетинговыми баннерами интерфейс системы так словно работающих приложений, мешая стандартной работе с устройствами. закончить считая того, по команде управляющего сервера троянец перемножать трансформировать код известных маркетинговых платформ Admob, Facebook так словно Mopub, кои применяются во многих программах так словно играх. Он заменяет оригинальные маркетинговые идентификаторы личным идентификатором, в итоге чего вся польза от показа рекламы в зараженных приложениях поступает вирусописателям.
Android.InfectionAds.1 эксплуатирует критичную уязвимость CVE-2017-13315 в ОС Android, которая дает вероятность троянцу метать системные активности. В итоге он перемножать автоматизированно становить так словно вызволять программы без вмешательства обладателя мобильного устройства. При создании троянца применен демо код (PoC — Proof of Concept) китайских исследователей, какой те сотворили для подтверждения возможности эксплуатации этой системной бреши.
CVE-2017-13315 можно отнести к классу уязвимостей, кои получили массовое наименование EvilParcel. них сущность заключается в том, словно пробор системных компонент содержит ошибку, по причине коей при обмене заданными среди приложениями так словно операционной системой множить быть них видоизменение. Конечное смысл специально сформированного фрагмента передаваемых заданных полно различаться от первоначального. подобным образом, программы способны обходить испытания операционной системы, зашибать больше высочайшие возможности так словно делать действия, кои раньше были им же недоступны. На данный час естественно о 7 уязвимостях подобного типа, однако них количество со периодом перемножать возрасти.
Используя EvilParcel, Android.InfectionAds.1 устанавливает затаенный снутри него apk-файл, какой содержит кончено ингридиенты троянца. закончить считая того, подобным образом Android.InfectionAds.1 в силах инсталлировать личные обновления, кои он загружает с управляющего сервера, а уж уж уж уж еще всевозможные альтернативные программы, в книжка числе так словно вредоносные. Например, при анализе троянец скачал с сервера так словно установил вредоносную программу Android.InfectionAds.4, которая появляется одной из его модификаций.
Пример того, ровно троянец без разрешения устанавливает приложения, показан ниже:
Наряду с EvilParcel троянец эксплуатирует так словно другую уязвимость ОС Android, популярную под наименованием
- com.whatsapp (WhatsApp Messenger);
- com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
- com.mxtech.videoplayer.ad (MX Player);
- com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
- com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
- com.jiochat.jiochatapp (JioChat: HD Video Call);
- com.jio.join (Jio4GVoice);
- com.good.gamecollection;
- com.opera.mini.native (Opera Mini - fast интернет browser);
- in.startv.hotstar (Hotstar);
- com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
- com.domobile.applock (AppLock);
- com.touchtype.swiftkey (SwiftKey Keyboard);
- com.flipkart.android (Flipkart Online Shopping App);
- cn.xender (Share Music & Transfer Files – Xender);
- com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
- com.truecaller (Truecaller: Caller ID, spam blocking & call record);
- com.ludo.king (Ludo King™).
При инфецировании программ троянец добавляет свои ингридиенты в структуру apk-файлов, закончить меняя них цифровую подпись. далее он устанавливает измененные версии приложений заместо оригиналов. так а как же по причине уязвимости цифровая подпись инфицированных файлов останется прежней, программы инсталлируются ровно них личные обновления. При данном аппарат еще производится с применением уязвимости EvilParcel без участия пользователя. В итоге атакованные программы продолжают оптимально работать, однако содержат в для себя копию Android.InfectionAds.1, которая неприметно работает совместно с ними. При инфецировании приложений троянцу превращаются доступны них данные. Например, при инфицировании WhatsApp переписка пользователя, а уж уж уж уж при инфицировании браузера сохраненные в нем логины так словно пароли.
Единственный метод отрешиться от троянца так словно вернуть безопасность зараженных программ — выслать содержащие его приложения так словно опять ввести них заранее чистые версии из достоверных источников, подобных ровно гугл Play. В освеженной версии Dr.Web Security Space для Android возникла вероятность выказывать уязвимости класса EvilParcel. данная опция доступна в Аудиторе безопасности. Скачать новейший дистрибутив программы можно с официального веб-сайта «Доктор Веб», в обозримое пора он полно доступен так словно в гугл Play. Все антивирусные провизия Dr.Web для Android счастливо детектируют так словно удаляют знакомую трансформации Android.InfectionAds.1, таким образом для наших юзеров троянец угрозе закончить представляет.