12 апреля 2019 года

Вирусные аналитики компании «Доктор Веб» исследовали троянца Android.InfectionAds.1, который использует несколько уязвимостей в ОС Android. С их помощью он заражает программы, а также может устанавливать и удалять приложения без участия пользователей. Другая функция Android.InfectionAds.1 — показ рекламы.

Злоумышленники встраивают троянца в изначально безобидное ПО, модифицированные копии которого затем распространяются через популярные сторонние каталоги Android-приложений – например, Nine Store и Apkpure. Наши специалисты обнаружили Android.InfectionAds.1 в таких играх и программах как HD Camera, ORG 2018_19 \Tabla Piano Guitar Robab Guitar, Euro Farming Simulator 2018 и Touch on Girls. Некоторые из них установили по меньшей мере несколько тысяч владельцев смартфонов и планшетов. Однако число зараженных приложений и пострадавших пользователей может оказаться намного больше.

При запуске программы, в которую внедрен троянец, тот извлекает из своих файловых ресурсов вспомогательные модули, после чего расшифровывает их и запускает. Один из них предназначен для показа надоедливой рекламы, а другие используются для заражения приложений и автоматической установки ПО.

Android.InfectionAds.1 перекрывает рекламными баннерами интерфейс системы и работающих приложений, мешая нормальной работе с устройствами. Кроме того, по команде управляющего сервера троянец может модифицировать код популярных рекламных платформ Admob, Facebook и Mopub, которые используются во многих программах и играх. Он подменяет уникальные рекламные идентификаторы собственным идентификатором, в результате чего вся прибыль от показа рекламы в зараженных приложениях поступает вирусописателям.

Android.InfectionAds.1 эксплуатирует критическую уязвимость CVE-2017-13315 в ОС Android, которая позволяет троянцу запускать системные активности. В результате он может автоматически устанавливать и удалять программы без вмешательства владельца мобильного устройства. При создании троянца использован демонстрационный код (PoC — Proof of Concept) китайских исследователей, который те создали для доказательства возможности эксплуатации этой системной бреши.

CVE-2017-13315 относится к классу уязвимостей, которые получили общее название EvilParcel. Их суть заключается в том, что ряд системных компонентов содержит ошибку, из-за которой при обмене данными между приложениями и операционной системой возможно их видоизменение. Конечное значение специально сформированного фрагмента передаваемых данных будет отличаться от первоначального. Таким образом, программы способны обходить проверки операционной системы, получать более высокие полномочия и выполнять действия, которые ранее были им недоступны. На данный момент известно о 7 уязвимостях такого типа, однако их число со временем может возрасти.

Используя EvilParcel, Android.InfectionAds.1 устанавливает скрытый внутри него apk-файл, который содержит все компоненты троянца. Кроме того, аналогичным образом Android.InfectionAds.1 способен инсталлировать собственные обновления, которые он загружает с управляющего сервера, а также любые другие программы, в том числе и вредоносные. Например, при анализе троянец скачал с сервера и установил вредоносную программу Android.InfectionAds.4, которая является одной из его модификаций.

Пример того, как троянец без разрешения устанавливает приложения, показан ниже:

Наряду с EvilParcel троянец эксплуатирует и другую уязвимость ОС Android, известную под названием Janus (CVE-2017-13156). C использованием этой системной бреши он заражает уже установленные приложения, внедряя в них свою копию. Android.InfectionAds.1 подключается к управляющему серверу и получает от него список программ, которые ему необходимо заразить. Если же соединиться с удаленным центром ему не удалось, он инфицирует приложения, которые указаны в его первоначальных настройках. В зависимости от модификации троянца этот список может содержать различные позиции. Вот пример такого перечня в одной из исследованных версий Android.InfectionAds.1:

• com.whatsapp (WhatsApp Messenger);
• com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
• com.mxtech.videoplayer.ad (MX Player);
• com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
• com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
• com.jiochat.jiochatapp (JioChat: HD Video Call);
• com.jio.join (Jio4GVoice);
• com.good.gamecollection;
• com.opera.mini.native (Opera Mini - fast web browser);
• in.startv.hotstar (Hotstar);
• com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
• com.domobile.applock (AppLock);
• com.touchtype.swiftkey (SwiftKey Keyboard);
• com.flipkart.android (Flipkart Online Shopping App);
• cn.xender (Share Music & Transfer Files – Xender);
• com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
• com.truecaller (Truecaller: Caller ID, spam blocking & call record);
• com.ludo.king (Ludo King™).

При заражении программ троянец добавляет свои компоненты в структуру apk-файлов, не изменяя их цифровую подпись. Затем он устанавливает модифицированные версии приложений вместо оригиналов. Поскольку из-за уязвимости цифровая подпись инфицированных файлов остается прежней, программы инсталлируются как их собственные обновления. При этом установка также выполняется с использованием уязвимости EvilParcel без участия пользователя. В результате атакованные программы продолжают нормально работать, но содержат в себе копию Android.InfectionAds.1, которая незаметно функционирует вместе с ними. При заражении приложений троянцу становятся доступны их данные. Например, при инфицировании WhatsApp ― переписка пользователя, а при инфицировании браузера ― сохраненные в нем логины и пароли.

Единственный способ избавиться от троянца и восстановить безопасность зараженных программ — удалить содержащие его приложения и вновь установить их заведомо чистые версии из надежных источников, таких как Google Play. В обновленной версии Dr.Web Security Space для Android появилась возможность обнаруживать уязвимости класса EvilParcel. Эта функция доступна в Аудиторе безопасности. Скачать новый дистрибутив программы можно с официального сайта «Доктор Веб», в ближайшее время он будет доступен и в Google Play.

Все антивирусные продукты Dr.Web для Android успешно детектируют и удаляют известные модификации Android.InfectionAds.1, поэтому для наших пользователей троянец опасности не представляет.

[Подробнее об Android.InfectionAds.1]

[Подробнее об EvilParcel]

[Подробнее о Janus]

#Android, #троянец, #вредоносное_ПО