Угрозы для Android: приемы маскировки и способы обмана пользователей

Пока аналитики по безопасности разрабатывают новые методы анализа вредоносного программного обеспечения, киберпреступники ищут изощренные способы заражения и скрытия своей вредоносной деятельности на устройствах пользователей. Для повышения эффективности атак злоумышленники прибегают как к методам социальной инженерии, цель которых ввести жертв в заблуждение, так и к сложным техническим механизмам для предотвращения выявления и анализа вредоносных программ.

Специалисты ESET собрали наиболее распространенные за последние несколько лет способы поведения вредоносного кода на устройствах Android.

   1. Использование мошеннических учетных записей в магазине Google Play для распространения вредоносного программного обеспечения.

Вредоносные приложения постоянно появляются в официальном магазине Google. Для охвата большего количества жертв часто киберпреступники маскируют собственные вредоносные программы под настоящие приложения. При этом, фальшивые учетные записи, которые используются для распространения вредоносных программ, могут быть максимально похожими на легитимные учетные записи. Например, недавно исследователи ESET обнаружили фальшивое приложение для обновления WhatsApp, которое использовало Юникод, чтобы создать впечатление распространения через официальный аккаунт.

   2. Использование преимуществ запланированных дат выхода приложений.

Распространенной практикой в ​​мире киберпреступности является маскировка вредоносных программ под версии приложений, в том числе популярных игр, выход которых планируется или которые недоступны в официальных магазинах некоторых стран. Такая ситуация наблюдалась вокруг известных программ Pokémon GO, Prisma и Dubsmash, поддельные версии которых инфицировали сотни тысяч устройств во всем мире.

   3. Техника «tapjacking» и наложения окон.

Техника «tapjacking» предусматривает захват оттенков экрана пользователя путем вывода на устройство жертвы двух наложенных приложений. Введенная в заблуждение жертва думает, что нажимает на одно приложение, но она фактически касается основного приложения, скрытого от просмотра.

Другой подобной стратегией, которая широко используется в шпионских программах для кражи учетных данных на Android, является наложение окон. В таких случаях вредоносное программное обеспечение постоянно отслеживает приложения, которые использует пользователь. Когда легитимная программа совпадает с определенной вредоносной программой, угроза отображает собственное диалоговое окно, идентичное к настоящему приложению, и требует учетные данные жертвы.

   4. Скрытие среди системных приложений.

Безусловно, самый простой способ для вредоносного кода оставаться незамеченным на устройстве –  маскировка под системные приложения. Популярными практиками среди киберпреступников является удаление значка после завершения установки или использования имен, пакетов и значков системных приложений, а также других популярных приложений. Примером такого программного обеспечения является банковский троян, который распространялся под видом Adobe Flash Player и похищал учетные данные жертв.

   5. Имитация системы и программ безопасности для запроса прав администратора.

Поскольку Android предоставляет ограниченное право доступа к программам, часто вредоносный код требует прав администратора для реализации своих функциональных возможностей. В свою очередь, предоставление этого разрешения затрудняет дальнейшее удаление опасной программы. Поэтому для введения в заблуждение жертв киберпреступники маскируют вредоносные программы под инструменты для защиты или обновления системы.

   6.  Сертификаты безопасности, которые имитируют настоящие данные.

Для проверки приложения пользователи также могут просматривать сертификат безопасности, который используется для подписания APK. И хотя большинство киберпреступников используют общие текстовые строки при выдаче сертификата, пользователи часто сталкиваются с проблемой подделки данных согласно информации разработчика. Таким образом злоумышленники запутывают пользователей, которые осуществляют проверку сертификатов безопасности.

   7. Несколько функциональных возможностей в одном коде.

В последнее время в мире мобильных устройств набирает популярность тенденция, которая заключается в объединении различных типов вредоносных программ в единый исполняемый файл. Примером такой угрозы является банковский троян LokiBot, который похищает информацию с устройства жертвы, пытаясь оставаться незамеченным как можно дольше. Однако при попытке пользователя удалить права администратора для деинсталляции вредоносной программы, угроза активирует функции вымогателя и шифрует файлы устройства.

   8. Скрытые программы.

Использование загрузчиков, а именно вставка злонамеренного кода в другой APK, является популярной стратегией в распространении вредоносного программного обеспечения не только среди ноутбуков и компьютеров, но и среди мобильных устройств. Поскольку функция Google Play Protect усложняет возможность загрузки вредоносных программ в официальный магазин, злоумышленники решили применять такой тип поведения для обхода элементов безопасности. С тех пор использование загрузчиков для распространения вредоносных программ стало одним из наиболее часто используемых вредоносных методов.

   9. Использование многих языков программирования и непостоянного кода.

Одним из самых эффективных способов введения в заблуждение исследователей безопасности является объединение языков и сред разработки, например, разработка приложений с Xamarin или использования кода Lua для выполнения вредоносных команд. Эта стратегия меняет окончательную архитектуру исполняемого файла и добавляет уровни сложности.

Некоторые злоумышленники также используют динамическую загрузку сценария или части кода, которые загружаются с удаленных серверов и удаляются после использования. А в случае удаления сервера невозможно точно определить, какие действия выполнял код на устройстве.

   10. Вредоносное программное обеспечение, которое действует совместно.

Альтернативой для усложнения анализа образца является распределение вредоносных функций между набором приложений, способных взаимодействовать друг с другом. Таким образом, каждое приложение имеет подмножество разрешений и функций, которые взаимодействуют друг с другом для выполнения общих целей. Для понимания настоящего функционала такого вредоносного программного обеспечения аналитикам нужно иметь доступ ко всем отдельных программ. И хотя это не является распространенной стратегией среди киберпреступников, уже существуют образцы угроз с таким типом поведения.

   11. Скрытые каналы и новые механизмы соединения.

Для соединения с командным (C&C) сервером или другими вредоносными приложениями угрозам необходимо передавать информацию. Это можно сделать с помощью традиционных открытых или скрытых каналов (индивидуальные коммуникационные протоколы, интенсивность яркости, использование центрального процессора, свободное место в памяти, уровень звука или вибрации и другие).

Кроме того, за последние месяцы специалисты ESET зафиксировали использование социальных сетей киберпреступниками для передачи сообщений командному (C&C) серверу. Например, ботнет Twitoor использует учетные записи Twitter для отправки команд.

Среди других методов препятствования выявлению, которые часто встречаются среди вредоносного программного обеспечения для Android, можно выделить упаковку, шифрование, запутывание и другие.

В связи с постоянным совершенствованием вредоносного программного обеспечения для мобильных устройств специалисты ESET рекомендуют загружать приложения только из официальных магазинов, а также использовать надежные решения для защиты мобильных устройств от новых угроз.