Троян Shedun использует Accessibility Service для установки приложений

image

Теги: троян, Android, инфицирование, персональные данные

Вместо эксплуатации уязвимости в сервисе троян использует его легитимные функции.

Специалисты ИБ-компании Lookout рассказали о вредоносном ПО для Android, которому для установки не требуется разрешение пользователя. Как отметил аналитик Майкл Бентли (Michael Bentley), для вредоносных целей Shedun использует службу Accessibility Service, которая обеспечивает доступ к событиям, возникающим в пользовательском интерфейсе.

Исследователи обнаружили порядка 20 тыс. Android-вредоносов, поделив их на три «семейства» в зависимости от используемого способа инфицирования - Shedun, Shuanet и ShiftyBug. Оказавшись на устройстве, трояны получают права суперпользователя и устанавливают себя в качестве системного ПО, которое крайне сложно удалить. Вредоносное ПО нового типа, содержащее функции трояна, позволяет злоумышленникам получать доступ к персональным данным, а также отображать рекламные объявления, зарабатывая на этом деньги.

Сообщается, что случаи заражения Shedun, Shuanet и ShiftyBug были выявлены в России, США, Германии, Иране, Индии, Ямайке, Судане, Бразилии, Мексике и Индонезии. Эксперты установили одну любопытную закономерность: коды всех трех вредоносов идентичны примерно на 70–80%, а это может свидетельствовать о том, что созданием ПО занималась одна и та же команда вирусописателей.

По сравнению остальными семействами, Shedun обладает более развернутым функционалом. Он не только загружает нежелательные приложения, но и пытается установить их, обманным путем заставляя пользователей предоставить контроль над службой Accessibility Service. Вместо эксплуатации уязвимости в сервисе Shedun использует его легитимные функции. Вредонос способен прочитывать текст, отображающийся на экране, определять появление командной строки программы установки приложения, просматривать список разрешений и выполнять установку без участия пользователя.


Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.