Security Week 16: xHelper — Android-троян повышенной живучести

Security Week 16: xHelper — Android-троян повышенной живучести
a23c50a9172dca265fb57f900063601e.jpeg

Неделю назад, 7 апреля, специалисты «Лаборатории Касперского» опубликовали подробное исследование Android-трояна xHelper. Впервые его обнаружили в середине прошлого года, большая часть атак с использованием зловреда приходится на телефоны российских пользователей. Его самое примечательное свойство — способность пережить даже сброс настроек телефона до заводских.

Троян часто маскируется под приложение для очистки и ускорения смартфона. После его установки пользователю может показаться, что произошла ошибка — троян не появляется в меню программ, а найти его можно только в списке установленных приложений в меню настроек. Программа обращается к командному серверу, отправляет информацию об устройстве и загружает следующий вредоносный модуль. Сценарий повторяется несколько раз, получается своего рода матрешка, в которой ключевой элемент — это вредоносное ПО AndroidOS.Triada.dd, содержащее набор эксплойтов для получения прав суперпользователя.

С наибольшей вероятностью программе удастся получить root-доступ на китайских смартфонах под управлением Android 6 и 7. После успешного взлома устройства троян перемонтирует системный раздел (изначально доступный только в режиме чтения) и внедряет туда еще один набор вредоносных программ. Добавление команды на запуск исполняемых файлов в скрипт для первого запуска ОС позволяет трояну восстановиться даже после сброса настроек. Другие опции меняются так, чтобы впоследствии затруднить подключение системного раздела для удаления вредоносного ПО. В том числе модифицируется системная библиотека libc.so.

Способности xHelper в исследовании подробно не описаны, так как практически безграничны. В зараженном мобильном устройстве присутствует бэкдор, а оператор может выполнять любые действия с правами суперпользователя. Атакующие имеют доступ к данным всех приложений и могут загружать другие вредоносные модули — например, для угона учетных записей сетевых сервисов. Лечение смартфона — сложный процесс. В теории можно загрузить устройство в Recovery Mode, можно попытаться вернуть на место оригинальную версию библиотеки libc.so, что позволит удалить вредоносные модули из системного раздела. На практике проще перепрошить смартфон, хотя исследователи отмечают, что некоторые распространяемые в сети прошивки уже содержат xHelper.

Что еще произошло

ИБ в условиях эпидемии. Компании Google и Apple совместно разработают сервис, который позволит определить, пересекались ли вы с носителем коронавируса ( новость , подробная статья на Хабре). Сервис предполагает анонимизированный обмен информацией между смартфонами по Bluetooth, что, естественно, вызывает сомнения относительно приватности такого обмена и возможности перепрофилирования технологии, скажем, под рекламные нужды. С другой стороны, это вариант технологической помощи в решении медицинской проблемы.

92e154c97e2042f6bb6b31cf9fa170c0.png

Сервис веб-конференций Zoom нанял бывшего главного директора по безопасности Facebook Алекса Стэймоса. Сервис тем временем запрещают в американских школах и в Google. Его разработчики все еще работают над безопасностью, включая мелкие, но важные твики интерфейса — в заголовке окна Zoom теперь не отображается номер конференции, что делает менее вероятным сценарий «кто-то запостил скриншот, и к встрече начали подключаться случайные люди». В своем блогпосте Стэймос назвал интересной быструю трансформацию Zoom из малоизвестного корпоративного сервиса в без пяти минут критически важный элемент инфраструктуры.

Разработчики WhatsApp для борьбы с фейками про коронавирус (и другими «цитатами из интернета») теперь позволяют пересылать сообщение только один раз, если оно пришло к вам не от постоянных контактов.

В программном комплексе VMware Directory Service (vmdir) обнаружена ( новость , бюллетень компании) критически опасная уязвимость. Сервис используется для централизованного управления виртуальными машинами. Ошибка в системе авторизации может привести к перехвату контроля над всей виртуальной серверной инфраструктурой компании.

Компания Sophos поискала «неоправданно дорогие» приложения в App Store. Такие программы, обычно с базовыми функциями типа линейки, калькулятора, фонарика и тому подобного, известны как fleeceware. В анализе приводятся два десятка примеров программ, причем некоторые умудряются попадать в списки наиболее прибыльных в региональных магазинах. Характерный признак fleeceware — предложение пробного бесплатного периода при первом запуске. В результате пользователь платит за «гороскопы» или «создание аватарок» до ста фунтов стерлингов в год, иногда даже не подозревая об этом.
android xHelper
Alt text
Комментарии для сайта Cackle