Основная статья: Трояны
2016: Атаки на смартфоны
Исследователи Comodo выявили новую версию банковского зловреда Tordow, атакующего пользователей в России. Троянец пытается получить root-привилегии на устройстве, что делает борьбу с ним чрезвычайно проблематичным делом.
Tordow 2.0 способен выполнять функции шифровальщика-вымогателя, а также перехватывать телефонные звонки, SMS-сообщения, скачивать и устанавливать приложения без ведома пользователя, красть логины-пароли, перезагружать устройства, и, что самое опасное, манипулировать банковскими данными и уничтожать мобильные антивирусы.
Помимо этого зловред собирает и переправляет своему командному серверу всю контактную информацию, которая хранится в Android и в Google Chrome, а также подробные сведения об устройстве, его аппаратных компонентах, установленном ПО, операционной системе, производителе, интернет-провайдере и физическом местонахождении пользователя.
Оригинальный Tordow был обнаружен в начале этого года экспертами "Лаборатории Касперского". Это был первый троянец под операционную систему Android, который стремится получить привилегии суперпользователя (root) на заражённом устройстве. Обычно банковские зловреды не нуждаются в root-привилегиях, однако с ними злоумышленники могут производить гораздо больше операций и дольше сохранять контроль над устройством.
В Comodo обнаружили, что Tordow 2.0 обладает функциями шифрования и расшифровки файлов с помощью алгоритма AES. Интересно, что ключ расшифровки зашит прямо в код: "MIIxxxxCgAwIB". Зная этот код, пользователь может вернуть себе доступ к зашифрованным файлам, так что называть его полноценным троянцем-шифровальщиком будет некорректно.
Но и без этого Tordow 2.0 представляет собой серьёзнейшую угрозу, тем более, что при наличии у него root-привилегий единственной возможностью устранить зловред является сброс системы до заводских настроек. Это автоматически означает потерю всех данных на устройстве.
Tordow 2.0 распространяется через модифицированные злоумышленниками клиентские приложения для социальных сетей (в частности, "ВКонтакте", "Одноклассники" и Telegram) и популярных мобильных игр (Pokemon Go, Subway Surfers). Заражённые программы распространяются через неофициальные магазины приложений. Внешне они ничем не отличаются от настоящих, но вместе с ними пользователь скачивает набор эксплойтов, обеспечивающих root-доступ к устройству и средства связи с командным центром зловреда.
Исследователи Comodo указывают, что хотя сейчас основной целью Tordow 2.0 являются русскоязычные пользователи, используемые зловредом методики в ближайшем будущем могут принять на вооружение злоумышленники и в других странах.
Неофициальные магазины приложений для популярных мобильных платформ довольно часто оказываются рассадником вредоносных приложений. Это происходит и с официальными магазинами, такими как Google Play, но очень редко: степень контроля со стороны администрации официальных ресурсов всё-таки довольно высокая. Про сторонние магазины этого сказать нельзя, - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - В принципе, официальные клиентские приложения, которые предлагается скачать или купить на неофициальных ресурсах, - это уже само по себе довольно подозрительно: вероятность, что эти приложения окажутся начинены зловредами, чрезвычайно высока. |
Не скачивать приложения, которые вызывают минимальные подозрения, - наиболее действенный способ защиты от подобных угроз. Кроме того, рекомендуется использовать мобильные антивирусы, способные препятствовать проникновению троянцев на устройства и изменению установок смартфонов без ведома пользователей.
Смотрите также: