Недавно мы рассказали, чем опасны мобильные трояны. Самые впечатлительные, должно быть, запомнили пару случаев: вроде того, когда 500 000 человек скачали в Google Play троян, замаскированный под полюбившийся Pokemon Go. Кража денег с банковской карты, взлом доступа к личным данным, воровство трафика, управление смартфоном, — лишь краткий список того, что умеет вредоносное ПО. Но мало знать о заразе, нужно ещё и понимать, как её нейтрализовать. В этом нам помогут эксперты из «Доктор Веб» — они согласились прокомментировать для пользователей 4PDA некоторые громкие истории заражений и алгоритмы распространённых троянов.
Истории, о которых невозможно молчать
В статье собрано несколько историй заражений мобильных устройств на Android, случившихся за последний год. Жертвы этих маленьких происшествий точно их запомнили как «вот тогда на мне неплохо наварились». Мы рассказали экспертам о нашумевших злодействах мобильных троянов, а они объяснили нам, как это происходит - и что делать, чтобы не стать жертвой мошенников.
Банковский троян Fakebank: и больше сюда не звони
Обычно «банковские» трояны определяют, подключена ли услуга онлайн-банка и сколько денег есть на счету. Если вредоносная программа обнаруживает деньги, она пытается незаметно перевести их злоумышленникам. В таком случае нужно срочно блокировать карту банка и замораживать счёт. Летом 2016 года троян Fakebank пошёл гораздо дальше: пользователи заражённых смартфонов не могли дозвониться на горячую линию банка, потому что вредоносный код блокировал звонки. За это время злоумышленники успевали снять деньги со счёта. Fakebank писался под российские и корейские банки - в чёрном списке трояна значился телефон «Сбербанка». Примечательно, что эта программа была создана аж в 2013-м, но продолжает мутировать и совершенствоваться каждый год. Сегодня нельзя с полной уверенностью утверждать, что зараза уничтожена. Сложно предположить, какие формы она приобретёт в нынешнем году, чтобы найти новый способ проникнуть на ваш смартфон и украсть деньги с банковского счёта.
Александр Свириденко, программист-исследователь:
Google предоставляет API для блокировки исходящих звонков, неудивительно, что им воспользовались вирусописатели.
Malware Godless: безбожник среди нас
В прошедшем году вредоносному коду Godless (что буквально переводится как «безбожник») удалось заразить 850 000 устройств. Этой атаке были подвержены все гаджеты под управлением Android 5.1 Lollipop и более старых версий. Получив root-привилегии, Godless «прописывался» как системное приложение и ждал команд от управляющего сервера. Вирус получал список программ, которые нужно установить на пострадавший девайс, и собирал личные данные каждого аккаунта. Google довольно оперативно выпустила «заплатку», но поскольку доставкой обновлений для Android занимаются производители гаджетов, говорить о полной победе над угрозой невозможно.
Павел Шалин, аналитик:
У нас этого троянца зовут Android.Sigh.1. Он использует набор эксплойтов для получения root-привилегий на атакуемом устройстве, напоминающий сборку эксплойтов с открытым исходным кодом android-rooting-tools. Установка других приложений выполняется по команде злоумышленников, если троянцу удалось получить в системе привилегии суперпользователя.
Android.Loki: удаление - только через чужой труп
Редкий случай, когда название вредоносного ПО отражает его деятельность: Loki (как и его скандинавский тёзка) очень хитёр, изворотлив и практически неуязвим. Проникнув на территорию вашего смартфона, он сперва запускается другими троянцами. Потом устанавливает связь с управляющим сервером и скачивает оттуда несколько эксплойтов для root-доступа и вредоносный компонент. После череды незаметных, но коварных действий Loki не просто получает root-доступ к смартфону, но и меняет системные компоненты под свои нужды - теперь его нельзя удалить, не повредив операционную систему. Если вы сотрёте Loki, то смартфон просто не будет нормально работать, и его придётся перепрошивать. Если же оставите «скандинава» на месте, то он, как и многие его коллеги, будет скачивать приложения, кликать по рекламе и творить прочие гадости.
Павел Шалин, аналитик:
Под «поломкой» здесь понимается высокая вероятность возникновения сбоев при загрузке и работе ОС, поскольку троянцы этого семейства заражают системные процессы и библиотеки. Опять же, как и в предыдущем случае, Android.Loki использует эксплойты для получения root на атакуемом устройстве со всеми вытекающими последствиями.
Malware HummingBad: 85 миллионов заражённых
HummingBad был обнаружен только после того, как уже успел заразить сразу 10 миллионов Android-смартфонов - это произошло в начале июля 2016 года. Столь успешный путь трояна объясняется тем, что он был довольно безобиден для владельца гаджета. Вредоносная программа «присасывалась» через загрузки из неофициальных маркетов, получала root-доступ, а потом ставила приложения на смартфон и кликала по рекламе. Сам пользователь ничего не терял (если не считать потраченного трафика). Пока пытались добраться до угрозы и уничтожить её, заражённая армия из 85 миллионов Android-пользователей всех версий ОС обеспечила распространителям HummingBad неплохой доход - может быть, вы в числе тех, кто помогал зарабатывать мошенникам $300 000 ежемесячно.
Александр Свириденко, программист-исследователь:
Троянцев, которые получают root-доступ, очень тяжело удалить простому пользователю. Наше приложение знает, как поступить с такими угрозами, при условии, что пользователь выдаст Dr.Web root-права. К сожалению, это означает потерю гарантии на устройство. Такими угрозами лучше не заражаться, в худшем случае это может превратить устройство в кирпич.
Adware.Cootek.1.origin: ты их в дверь, они в окно
Cootek из разряда «суперзвёзд» - он побывал на 50 миллионах устройств, а это население немаленькой европейской страны. Причина оглушительной «популярности» проста: троян скрыт в приложении TouchPal, которое совершенно легально висело в Google Play. Работает Cootek очень просто: швыряет в вас баннерами, постоянно выводит на экран какие-то рекламные сообщения, простейшие мини-игры (тоже рекламные) и всячески мешает жить. От него не скрыться даже за экраном блокировки - «уникальные предложения» найдут вас и там. Избавиться от Cootek, не удаляя TouchPal, никак нельзя, так что, если вы не хотите видеть у себя в телефоне глянцевый журнал, придётся жертвовать приложением.
Павел Шалин, аналитик:
Встраиваемый рекламный модуль оказался действительно агрессивным: он создаёт на домашнем экране виджеты, которые не удаляются до тех пор, пока владелец устройства не нажмёт на них, генерирует окна и показывает надоедливые баннеры, встраивает рекламу в экран блокировки. Этот плагин фактически мешает пользоваться мобильным устройством из-за постоянно всплывающих уведомлений и неудаляемых виджетов, а стереть его можно только вместе с самим приложением. Этот плагин и подобные ему распространяются через Google Play и встраиваются в приложения самими разработчиками в целях монетизации. А страдают простые пользователи. :)
Почему люди ведутся и кому это выгодно
Кинематограф приучил нас к этакому благородному образу хакера - пронзительный взгляд Рами Малика, губы Анджелины Джоли, белокурые локоны Бенедикта Кэмбербэтча. В реальности всё гораздо проще: вирусы пишутся ради денег. Очередной троян прыгает к вам в смартфон, жмёт там на рекламные баннеры, и копеечка улетает на счёт автора вредоносной программы. Миллионы заражённых устройств - миллионы копеечек. Иногда троянцы крадут напрямую. Банковские приложения - в числе самых распространённых объектов для атак разной мобильной заразы. Их меньше, но и потенциальный улов с каждого заражённого выше. В любом случае, от количества инфицированных аппаратов напрямую зависит заработок кибермошенников. К каким ухищрениям они прибегают, чтобы «убедить» максимальное число пользователей установить вредоносный код на свой смартфон?
Александр Свириденко, программист-исследователь:
Самый простой способ - сделать приложение-подделку с тем же названием и иконкой, что и у популярного оригинала. Такие подделки можно вычислить, если обращать внимание на запрашиваемые для них разрешения, но неподготовленному пользователю это мало поможет, так как и обычное может требовать аналогичные права. Далее только при старте программы станет ясно, что она содержит не то, что хотел пользователь. Если повезёт, и троян не прорутует устройство, можно будет попытаться его удалить.
Другой способ - модификация уже существующих приложений. Обычно разработчики программ (особенно не очень популярных) не слишком заботятся о защите от взлома. Сейчас появились целые сервисы, где можно зарегистрироваться, засунуть туда apk какой-нибудь сторонней программы, в неё автоматически встроится зловредный модуль. Поставив такую программу, пользователь даже не заметит подвоха, а через пару недель она начнёт выкидывать рекламу на весь экран, и будет очень тяжело догадаться, что это делает приложение от уважаемого разработчика. Этим могут пользоваться множество злоумышленников, им даже не нужно иметь никаких знаний, достаточно распространять такие apk по форумам и получать свой процент с рекламы.
Павел Шалин, аналитик:
К сожалению, некоторые версии Android содержат уязвимости, которыми могут воспользоваться вирусописатели. В Dr.Web Security Space для Android за их обнаружение отвечает компонент Аудитор безопасности. В большинстве случаев уязвимость на уровне операционной системы можно устранить только путём обновления ОС, но обновления для firmware выпускают лишь немногие производители устройств - в основном это касается флагманских моделей смартфонов от ведущих производителей. Потому значительная часть пользователей подвержена этим угрозам.
Александр Свириденко, программист-исследователь:
Трояны работают в основном как доносчики и посредники: фиксируют всю информацию о вас и отправляют разработчикам. Ну или помогают зарабатывать за счёт вас - кликают по рекламе.
Как не заразиться: семь правил безопасности
Прежде всего необходимо следовать элементарным правилам «цифровой гигиены». Мы, пользователи 4PDA, их отлично знаем и соблюдаем (и даже нарушаем иногда - потому что понимаем, как безопасно нарушить.) Но у нас есть друзья, знакомые, родственники, которые регулярно приходят к нам за советами или за решением проблем со смартфоном.
Мы собрали правила безопасности в единый чек-лист.
Александр Свириденко, программист-исследователь:
Кстати, на Android 6.0 это правило больше не работает. Если приложение умеет работать с «шестёрками» и выше, то оно уже в процессе работы запрашивает права.
Ну а чтобы точно не заразиться, лучше ничего не ставить. :) А так - читайте отзывы, смотрите на рейтинги. Если у приложения хороший рейтинг и миллионы скачиваний, вряд ли оно будет с проблемами. Если хочется поставить какое-то новое приложение, то, естественно, надо иметь на устройстве антивирус (хотя это тоже не гарантирует стопроцентной защиты). Если хочется поставить какой-то apk с сайта, то можно его ещё закинуть на virustotal.com. Там сразу несколько антивирусов проверят его.
Правило 8: зачем мобильному гуру антивирус?
Ещё несколько лет назад пунктов из приведённого выше списка было вполне достаточно, чтобы не задумываться о вредоносном коде на смартфоне. Но десятки миллионов заражений через приложения из Google Play, - прозрачный намёк на то, что ситуация меняется не в лучшую сторону. И это только те случаи, которые были зафиксированы специалистами. А сколько заражений не попало в статистику? Возможно ли по косвенным признакам определить, что в смартфоне поселилось вредоносное ПО, и как это сделать?
Павел Шалин, аналитик:
Любое странное поведение девайса должно насторожить пользователя. К «странному» можно отнести появление в неожиданных местах рекламных баннеров или всплывающих окон, «теряющиеся» безо всяких причин SMS и т. д. Опаснее всего мобильные банковские троянцы, эксплуатирующие мобильные приложения «банк-клиент», но о заражении таким вредоносным ПО пользователь обычно узнаёт только тогда, когда с его банковского счёта оказываются похищены все деньги.
Наверняка у вас в голове сейчас крутится что-то вроде «отлично, но мне-то зачем антивирус». Действительно, если бы уровень вашей технической подкованности был аналогичен уровню пенсионерки, которой внук подарил смартфон, вряд ли бы вы вообще оказались на этом портале. Но знайте - даже для таких прожжённых мастеров защитное ПО может пригодиться.
Во-первых, не забывайте, что и на старуху бывает проруха. Все мы люди, все ошибаемся, и принять фальшивый баннер онлайн-банка за настоящий может каждый. Тут-то антивирус и протянет вам руку помощи, а скорее - даст отрезвляющий щелчок: ты что, не видишь, что ли?
Александр Свириденко, программист-исследователь:
Помимо борьбы с вредоносными программами у антивирусов есть дополнительная функциональность. Например, Dr.Web Security Space для Android защищает от перехода на мошеннические сайты, где вас могут через оператора подписать на ненужные услуги. Ну и в целом показывает проблемные места системы. Это важно, если человек пользуется банковскими приложениями.
Во-вторых, допустим, вы заразились (для этого иной раз достаточно просто скачать приложение из Google Play). Согласитесь, вручную перебирать программы в поисках источника проблем - то ещё занятие. Вы, конечно, заразу найдёте, но потратите время. То же самое касается приложений, которые вы загружаете из файлообменников, где трояны, мягко говоря, не редкость - антивирус сразу определит, что пытается прописаться в вашем гаджете.
Другой нюанс. Наверняка менее продвинутые пользователи несут свои заражённые смартфоны к вам - «ты же понимаешь, посмотри». Безусловно, внимание окружающих льстит, но время-то не вернёшь, а его такие просьбы отнимают немало. Скажите своим друзьям и родственникам, чтобы поставили наконец антивирус. Во-первых, источник заразы быстрее отыщется. Во-вторых, избавитесь от будущих просьб о «дружеской помощи».
В итоге, как видите, страж цифрового здоровья нужен не только тем, кто слабо отличает WhatsApp от «Телеграма», но и более искушённым пользователям. Можно надеяться на свои силы и умения, но антивирус, разработанный отличными профессионалами, значительно упростит вам жизнь.