14 Января, 2019

Предустановленные вредоносные программы предназначены для критически важных системных приложений на мобильных устройствах

Владимир Безмалый

Оригинал

Несколько новых типов предустановленных вредоносных программ предназначены для критически важных системных приложений на мобильных устройствах, что затрудняет их удаление.

Исследователи из Malwarebytes обнаружили два экземпляра предустановленных вредоносных программ, предназначенных для приложений, в /system/priv-app/, где находятся критически важные приложения, такие как настройки и системный интерфейс пользователя. Первый случай заражения обнаружен на устройстве THL T9 Pro. Вредоносные программы неоднократно устанавливали варианты Android/Trojan.HiddenAds, который известен тем, что отображает рекламу на экране блокировки, которая занимает весь экран устройства. В данном конкретном случае зараза завернулась в критическое системное Android-приложение System UI.

Второй раз инфицирование произошло на UTOK Q55. В этом случае угроза была жестко запрограммирована в приложении «Настройки» устройства. Оно подходит под категорию «монитор» потенциально нежелательных программ (PUP), которые способны собирать и сообщать информацию пользователей.

Проблема с предустановленным вредоносным ПО сохраняется

Эти два экземпляра предустановленного вредоносного ПО не являются первыми обнаруженными Malwarebytes. В марте 2017 года исследователи из этой компании-поставщика программного обеспечения для обеспечения безопасности обнаружили, что мобильные устройства производства BLU поставляются с Android/Adware.YeMobi. Затем, в декабре того же года, исследователи обнаружили автоустановщик, известный как FWUpgradeProvider, предварительно установленный на устройствах, купленных у законных телефонных операторов в Великобритании и других странах.

Другие фирмы по безопасности обнаружили недавно установленное вредоносное ПО. Например, Check Point обнаружил RottenSys, замаскированный под системный сервис Wi-Fi; по состоянию на март 2018 года угроза была направлена почти на 5 миллионов пользователей с целью получения доходов от мошеннической рекламы. Несколько месяцев спустя Avast Threat Labs обнаружила рекламное ПО под названием Cosiloon, предустановленное на сотнях моделей устройств Android.

Как защитить мобильные устройства от предустановленного вредоносного ПО

Специалисты по безопасности могут защитить мобильные устройства от предустановленных вредоносных программ и других угроз с помощью решения UEM для унифицированного управления конечными точками, чтобы отслеживать, как эти устройства сообщают в корпоративную ИТ-среду. Им также следует использовать поведенческий анализ, чтобы помочь защитить мобильные устройства от угроз нулевого дня.