Если устройств на Android в мире больше миллиарда, а вирусная эпидемия затронула, например, 50 000 устройств, то это капля в море. До тех пор, пока это не ваш смартфон и не ваши деньги

Фото: ИТАР ТАСС

Количество атак все время растет. Так, в отчете Avast сообщается, что за второй квартал 2017 г. их стало на 40% больше, чем годом ранее (с 1,2 млн до 1,7 млн). Появляются новые вирусы.

У «Лаборатории Касперского» более развернутая статистика, в соответствии с которой существенно выросла доля шифровальщиков и рекламного программного обеспечения (далее – ПО), далее идут различные варианты троянов. Но наибольший рост демонстрирует (и занимает первое место) так называемое «рисковое ПО» – это вроде бы легитимные приложения, но отдельные их функции могут быть использованы во вредоносных целях, если такие приложения управляются мошенниками.

Хотя значительная часть мобильного вредоносного ПО ориентировано на старые версии Android, в которых больше ошибок и которые давно не обновляются, иногда появляется и «что-то новенькое», где используются свежие схемы проникновения в систему и вредоносной деятельности. Именно в этих случаях, как правило, возникают наиболее сильные эпидемии.

Троян Ztorg: теперь и в официальном магазине приложений

Фото: ИТАР ТАСС

«Лаборатория Касперского» в своем отчете рассказывает о такой штуке как Ztorg – это троян с богатой историей и большим количеством вариантов, разные версии которого регулярно вылавливают в официальном магазине Google Play Store. Помимо факта нахождения в официальном магазине (причем туда постоянно загружаются все новые зараженные приложения) он интересен тем, что зараженные приложения активно рекламируются в разных рекламных сетях, а уже взломанные смартфоны оставляют им хорошие отзывы.

Поэтому он выглядят очень популярными (некоторые достигали 1-1,5 млн установок!), так что пользователи доверяют им больше.

Попав в систему, Ztorg пытается взломать ее для получения прав суперпользователя (возможности управлять системой). Кстати, некоторые его варианты (и многие другие трояны, например, Gooligan) после такого взлома умеют добавлять себя в систему так, что сохраняются даже после сброса устройства до заводского состояния.

То есть избавиться от него очень сложно. Защита последних версий Android стала сильнее, так что, например, на последних обычный ztorg получить эти права не сможет, но заразить систему все равно может.

Захватив систему, Ztorg может как демонстрировать пользователю дополнительную рекламу, так и загружать из интернета другие вредоносные модули с разной функциональностью.

Например, в одном из более поздних вариантов, который также обнаружен в официальном магазине Google, есть функциональность отправки СМС на платные номера или возможность воровать деньги со счета через платные WAP-услуги.

При этом он отключает уведомления через СМС (фактически, ворует их) и стирает входящие сообщения, чтобы пользователь ничего не заподозрил.

Другой модуль позволяет устанавливать вам на устройство какие-то приложения из магазина Google Play (например, установку которых оплачивает разработчик в рекламных целях), при этом троян сам может кликать на кнопки в магазине для установки и покупки приложений.

В общем, набор разных функций у него очень богатый, и в каждом конкретном случае работать троян будет по-разному. Кратко подведем итоги его возможностей:

А) Заразиться можно, поставив вполне безобидное приложение (конвертер валют, уровень и пр. В статье указываются также браузер Magic browser и детектор шума) из официального (!) магазина Google.

Б) После этого ваш смартфон «открыт» для него – Ztorg может ставить другие вредоносные модули, дополняя или изменяя свою функциональность. Где-то это будет воровство ваших банковских данных или управление банковским приложением, где-то – отправка платных СМС или подключение платных услуг.

В) Он может контролировать показ рекламы. То есть либо вы будете получать рекламу, которую показывает вам вирус, а не оригинальный сайт или приложение, либо вы будете получать дополнительную рекламу (например, полноэкранные баннеры), либо вы будете получать рекламу вредоносных и фишинговых сайтов и приложений.

Г) Вирус может устанавливать на ваш смартфон различные приложения (в том числе создавая впечатление их популярности, в рекламных целях и пр.), оставлять положительные отзывы и рейтинги и т.д. Из-за этого еще больше пользователей скачают себе зараженное ПО.

Троян Dvmap: главное – взломать

Фото: ИТАР ТАСС

Чаще всего пользователи сталкиваются с загрузчиками. Это вредоносное ПО, которое попадает в вашу систему либо с поддельным приложением, либо, обманув вас и заставив кликнуть по ссылке или еще как-то, получает контроль над ней. После чего оно связывается с командным сервером и получает оттуда через интернет другие модули, которые уже осуществляют вредоносные действия.

Особенностью этого трояна является то, что он добавляет себя в системные библиотеки, что делает его уничтожение чрезвычайно сложной задачей.

Банковский троянец Asacub

Фото: ИТАР ТАСС

Еще один проект с богатой историей. Первые версии появились еще в 2015 г., проект активно развивается, обрастает новой функциональностью, учится новым возможностям… Маскируется под банковские приложения, изначально разрабатывался для воровства денег с банковских счетов, поэтому занимается фишингом, маскируясь под приложения известных банков разных стран. В третьем квартале этого года случился очередной всплеск его распространения, в этот раз через СМС-спам.

Кстати, летом известный банковский троян SVPENG научился использовать функции для людей с ограниченными возможностями для получения суперправ в современных версиях Android, что позволяет ему перехватывать СМС, воровать данные из других приложений и успешно сопротивляться попыткам удаления из системы.

Также совсем недавно появилась его модификация, которая является не банковским трояном, а шифровальщиком.

Шифровальщик Doublelocker (он же Svpeng)

Фото: ИТАР ТАСС

На мой взгляд, шифровальщики – один из самых опасных типов вредоносного ПО. Как следует из названия, заразив вашу систему, шифровальщик шифрует ваши данные, после чего обычно просит выкуп за обратную расшифровку.

Doublelocker попадает в систему с зараженных сайтов как «обновление плеера Adobe Flash». При запуске он запрашивает использование подсистемы для людей с ограниченными возможностями (пользователь должен разрешить ему это, но кто там читает эти уведомления?), которую использует для заражения.

В системе он, во-первых, ставит случайный код разблокировки вместо текущего, то есть устройством нельзя пользоваться. При этом он его нигде не сохраняет, это значит, что восстановить код не получится.

После уплаты выкупа он сам его удаленно сбрасывает, и можно будет выставить новый код разблокировки.

Во-вторых, он шифрует файлы в основной памяти смартфона. Используется сильный алгоритм шифрования, и в работе ошибок нет, то есть расшифровать файлы без выкупа не получится. Неприятно в нем еще то, что он ставит себя в систему, как новый лаунчер, то есть срабатывает каждый раз при нажатии кнопки «домой».

Все это значит, что заразившись, вы получаете мертвый смартфон, да еще и все ваши данные пропадут, если вы не заплатите.

Итоги: чего бояться?

Фото: ИТАР ТАСС

Два самых страшных вида троянских программ – это шифровальщики и банковские трояны. Первые шифруют данные на вашем устройстве и требуют выкуп, вторые – взламывают его для воровства денег.

Кража личной информации – неприятный, но не смертельный случай для обычного человека. Лишняя реклама или СМС-спам – тоже. А вот эти два направления наносят наибольший финансовый и личный ущерб.

Впрочем, другие направления тоже не стоит недооценивать, например, имеющий полный контроль над вашим смартфоном троян, получивший прав суперпользователя, тоже может натворить бед.

Тут неприятно еще то, что функциональность троянов постоянно меняется – сегодня это рекламный агент, который тихо сидит в системе и показывает два-три дополнительных баннера, а завтра он скачает новый модуль и превратится в мощного шифровальщика.

Поэтому защищаться нужно сразу от всего, и чем выше уровень защиты, тем лучше.