Security Week 29: системная реклама в Android

Security Week 29: системная реклама в Android
На прошлой неделе специалисты «Лаборатории Касперского» опубликовали большой отчет о нежелательном рекламном ПО на Android-смартфонах. Это не первая публикация по теме: в мае, например, эксперты компании исследовали ПО с навязчивой рекламой, найденное в магазине приложений Google Play. Но если в том случае объявления пропадали с удалением программы, то теперь речь идет о живучем adware.

4ec062218226e14e468436b72b8c0230.png

Есть два способа навечно осчастливить владельца смартфона надоедливой рекламой. В первом случае приложение прописывает рекламную нагрузку в системный раздел, взламывая смартфон при помощи одного из способов получения root-прав. Второй вариант — реклама уже встроена в телефон производителем: чаще всего это происходит с недорогими устройствами. По данным «Лаборатории Касперского», до 15% пользователей, сталкивающихся с рекламным ПО, имеют дело именно с системным adware. Помимо навязчивых баннеров, большинство модулей могут загружать на смартфон пользователя что угодно, вплоть до вредоносов.

Функциональность некоторых модулей впечатляет. Например, Trojan-Dropper.AndroidOS.Agent.pe встраивается в системное приложение, отвечающее за отрисовку интерфейса, удалить которое с сохранением работоспособности телефона в принципе невозможно. Аналогичным образом поступает исследованный в апреле троян xHelper . Trojan.AndroidOS.Sivu.c закрывает баннерами легитимные приложения или домашний экран, показывает рекламу в уведомлениях, но также может загружать и устанавливать на смартфон произвольный код. Trojan-Downloader.AndroidOS.Facmod.a встраивается в модуль SystemUI, в некоторых смартфонах присутствует по умолчанию, может незаметно для пользователя открывать браузер и загружать страницы с рекламой.

В отчете также упоминаются «рекламные модули от производителей». В частности, такую бизнес-модель применяет в ряде моделей компания Xiaomi. Похожие функции нашли в смартфонах Meizu, но тамошний рекламный модуль помимо обычной демонстрации баннеров мог загружать и выполнять JavaScript-код.

2ff719d007742559841f3483bc9f0bec.png

В исследовании также анализируют другие сомнительные куски кода, обнаруженные в смартфонах Meizu. Общий вывод такой: можно предположить, что рекламная бизнес-модель имеет право на жизнь, но в некоторых смартфонах код, отвечающий за это, попросту опасен. Как минимум, вендор может использовать его для получения прибыли от показа баннеров, установки спонсируемых приложений и прочего. Но если доступ к рекламной сети каким-то образом получат злоумышленники, баннерные фичи легко превращаются в бэкдор.

Стоит также упомянуть свежее исследование компании Malwarebytes: ее специалисты нашли на смартфоне с Android 7.1 бэкдор, встроенный в приложение для управления настройками. Набор функций очень похож на описанный выше: загрузка приложений, показ рекламы, связь с командным центром для полного контроля над устройством. Исследованный смартфон — дешевый, он используется госведомством, распределяющим устройства среди малоимущих. В этом и других случаях заводского бэкдора или adware пользователям остается надеяться лишь на выпуск кастомной прошивки энтузиастами.

Что еще произошло

Специалисты Check Point Software исследуют троян Joker, который систематически всплывает в Google Play. В январе этого года модераторы магазина удалили 17 тысяч приложений, отягощенных вредоносным кодом, но те периодически возвращаются в слегка измененном виде.

Отчет ( новость , исходник в PDF ) о безопасности роутеров немецкого института Фраунгофера. Исследовано 127 устройств, уязвимости обнаружились во всех, в среднем по 53 критические проблемы в каждом.


В клиенте Zoom для Windows нашли и закрыли критическую уязвимость в очередной версии 5.1.3. Детали пока не раскрывают, но на видео выше показан PoC.

Исследование об уязвимостях в IP-камерах TP-Link Casa. Ничего серьезного, но реализация веб-интерфейса для управления устройствами позволяет идентифицировать логины пользователей и затем попробовать подобрать пароль, например из многочисленных утечек.

Критическая уязвимость в плагине Adning для сайтов на базе WordPress.

Очередной набор уязвимостей обнаружили и закрыли в ПО Citrix Application Delivery Controller и Citrix Gateway.

Интересное исследование уязвимости в Facebook, позволявшей удалять любую фотографию любого пользователя.
android adware
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.