Троян часто маскируется под приложение для очистки и ускорения смартфона. После его установки пользователю может показаться, что произошла ошибка — троян не появляется в меню программ, а найти его можно только в списке установленных приложений в меню настроек. Программа обращается к командному серверу, отправляет информацию об устройстве и загружает следующий вредоносный модуль. Сценарий повторяется несколько раз, получается своего рода матрешка, в которой ключевой элемент — это вредоносное ПО AndroidOS.Triada.dd, содержащее набор эксплойтов для получения прав суперпользователя.
С наибольшей вероятностью программе удастся получить root-доступ на китайских смартфонах под управлением Android 6 и 7. После успешного взлома устройства троян перемонтирует системный раздел (изначально доступный только в режиме чтения) и внедряет туда еще один набор вредоносных программ. Добавление команды на запуск исполняемых файлов в скрипт для первого запуска ОС позволяет трояну восстановиться даже после сброса настроек. Другие опции меняются так, чтобы впоследствии затруднить подключение системного раздела для удаления вредоносного ПО. В том числе модифицируется системная библиотека libc.so.
Способности xHelper в исследовании подробно не описаны, так как практически безграничны. В зараженном мобильном устройстве присутствует бэкдор, а оператор может выполнять любые действия с правами суперпользователя. Атакующие имеют доступ к данным всех приложений и могут загружать другие вредоносные модули — например, для угона учетных записей сетевых сервисов. Лечение смартфона — сложный процесс. В теории можно загрузить устройство в Recovery Mode, можно попытаться вернуть на место оригинальную версию библиотеки libc.so, что позволит удалить вредоносные модули из системного раздела. На практике проще перепрошить смартфон, хотя исследователи отмечают, что некоторые распространяемые в сети прошивки уже содержат xHelper.
Что еще произошло
ИБ в условиях эпидемии. Компании Google и Apple совместно разработают сервис, который позволит определить, пересекались ли вы с носителем коронавируса (, подробная на Хабре). Сервис предполагает анонимизированный обмен информацией между смартфонами по Bluetooth, что, естественно, вызывает сомнения относительно приватности такого обмена и возможности перепрофилирования технологии, скажем, под рекламные нужды. С другой стороны, это вариант технологической помощи в решении медицинской проблемы.
Сервис веб-конференций Zoom бывшего главного директора по безопасности Facebook Алекса Стэймоса. Сервис тем временем запрещают в американских школах и в Google. Его разработчики все еще работают над безопасностью, включая мелкие, но важные твики интерфейса — в заголовке окна Zoom теперь не отображается номер конференции, что делает менее вероятным сценарий «кто-то запостил скриншот, и к встрече начали подключаться случайные люди». В своем блогпосте Стэймос интересной быструю трансформацию Zoom из малоизвестного корпоративного сервиса в без пяти минут критически важный элемент инфраструктуры.
Разработчики WhatsApp для борьбы с фейками про коронавирус (и другими «цитатами из интернета») теперь пересылать сообщение только один раз, если оно пришло к вам не от постоянных контактов.
В программном комплексе VMware Directory Service (vmdir) обнаружена (, компании) критически опасная уязвимость. Сервис используется для централизованного управления виртуальными машинами. Ошибка в системе авторизации может привести к перехвату контроля над всей виртуальной серверной инфраструктурой компании.
Компания Sophos «неоправданно дорогие» приложения в App Store. Такие программы, обычно с базовыми функциями типа линейки, калькулятора, фонарика и тому подобного, известны как fleeceware. В анализе приводятся два десятка примеров программ, причем некоторые умудряются попадать в списки наиболее прибыльных в региональных магазинах. Характерный признак fleeceware — предложение пробного бесплатного периода при первом запуске. В результате пользователь платит за «гороскопы» или «создание аватарок» до ста фунтов стерлингов в год, иногда даже не подозревая об этом.
