Security Week 16: xHelper — Android-троян повышенной живучести

Security Week 16: xHelper — Android-троян повышенной живучести
a23c50a9172dca265fb57f900063601e.jpeg

Неделю назад, 7 апреля, специалисты «Лаборатории Касперского» опубликовали подробное исследование Android-трояна xHelper. Впервые его обнаружили в середине прошлого года, большая часть атак с использованием зловреда приходится на телефоны российских пользователей. Его самое примечательное свойство — способность пережить даже сброс настроек телефона до заводских.

Троян часто маскируется под приложение для очистки и ускорения смартфона. После его установки пользователю может показаться, что произошла ошибка — троян не появляется в меню программ, а найти его можно только в списке установленных приложений в меню настроек. Программа обращается к командному серверу, отправляет информацию об устройстве и загружает следующий вредоносный модуль. Сценарий повторяется несколько раз, получается своего рода матрешка, в которой ключевой элемент — это вредоносное ПО AndroidOS.Triada.dd, содержащее набор эксплойтов для получения прав суперпользователя.

С наибольшей вероятностью программе удастся получить root-доступ на китайских смартфонах под управлением Android 6 и 7. После успешного взлома устройства троян перемонтирует системный раздел (изначально доступный только в режиме чтения) и внедряет туда еще один набор вредоносных программ. Добавление команды на запуск исполняемых файлов в скрипт для первого запуска ОС позволяет трояну восстановиться даже после сброса настроек. Другие опции меняются так, чтобы впоследствии затруднить подключение системного раздела для удаления вредоносного ПО. В том числе модифицируется системная библиотека libc.so.

Способности xHelper в исследовании подробно не описаны, так как практически безграничны. В зараженном мобильном устройстве присутствует бэкдор, а оператор может выполнять любые действия с правами суперпользователя. Атакующие имеют доступ к данным всех приложений и могут загружать другие вредоносные модули — например, для угона учетных записей сетевых сервисов. Лечение смартфона — сложный процесс. В теории можно загрузить устройство в Recovery Mode, можно попытаться вернуть на место оригинальную версию библиотеки libc.so, что позволит удалить вредоносные модули из системного раздела. На практике проще перепрошить смартфон, хотя исследователи отмечают, что некоторые распространяемые в сети прошивки уже содержат xHelper.

Что еще произошло

ИБ в условиях эпидемии. Компании Google и Apple совместно разработают сервис, который позволит определить, пересекались ли вы с носителем коронавируса ( новость , подробная статья на Хабре). Сервис предполагает анонимизированный обмен информацией между смартфонами по Bluetooth, что, естественно, вызывает сомнения относительно приватности такого обмена и возможности перепрофилирования технологии, скажем, под рекламные нужды. С другой стороны, это вариант технологической помощи в решении медицинской проблемы.

92e154c97e2042f6bb6b31cf9fa170c0.png

Сервис веб-конференций Zoom нанял бывшего главного директора по безопасности Facebook Алекса Стэймоса. Сервис тем временем запрещают в американских школах и в Google. Его разработчики все еще работают над безопасностью, включая мелкие, но важные твики интерфейса — в заголовке окна Zoom теперь не отображается номер конференции, что делает менее вероятным сценарий «кто-то запостил скриншот, и к встрече начали подключаться случайные люди». В своем блогпосте Стэймос назвал интересной быструю трансформацию Zoom из малоизвестного корпоративного сервиса в без пяти минут критически важный элемент инфраструктуры.

Разработчики WhatsApp для борьбы с фейками про коронавирус (и другими «цитатами из интернета») теперь позволяют пересылать сообщение только один раз, если оно пришло к вам не от постоянных контактов.

В программном комплексе VMware Directory Service (vmdir) обнаружена ( новость , бюллетень компании) критически опасная уязвимость. Сервис используется для централизованного управления виртуальными машинами. Ошибка в системе авторизации может привести к перехвату контроля над всей виртуальной серверной инфраструктурой компании.

Компания Sophos поискала «неоправданно дорогие» приложения в App Store. Такие программы, обычно с базовыми функциями типа линейки, калькулятора, фонарика и тому подобного, известны как fleeceware. В анализе приводятся два десятка примеров программ, причем некоторые умудряются попадать в списки наиболее прибыльных в региональных магазинах. Характерный признак fleeceware — предложение пробного бесплатного периода при первом запуске. В результате пользователь платит за «гороскопы» или «создание аватарок» до ста фунтов стерлингов в год, иногда даже не подозревая об этом.
android xHelper
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!