Adware-зловред Shuanet атакует Android

Adware-зловред Shuanet атакует Android

Новый вид рекламного троянца встраивается в код популярных Android-приложений, получает права суперпользователя на устройстве и позволяет своим создателям зарабатывать по $2 с каждой установки.Shuanet ведет себя как вредоносное ПО и родственен другим adware-семействам, в том числе Kemoge и Shedun, — они также получают права суперпользователя и орудуют на системном уровне мобильного устройства.Показать связанные сообщения Россияне рискуют своими данными в мессенджерах 9 Ноябрь 2015 , 18:39 Новый вариант Tinba атакует российские и японские банки 9 Ноябрь 2015 , 00:23 "Лаборатория Касперского" о DDoS-атаках в третьем квартале 9 Ноябрь 2015 , 00:02 По словам исследователей из компании Lookout, специализирующейся на безопасности мобильных устройств, 20 тыс. из общего количества зловредов, относящихся к этим трем семействам, распространяются через троянские приложения, скачиваемые из сторонних магазинов Android."Adware-приложения, демонстрирующие навязчивую мобильную рекламу, продолжают усложняться и все чаще используют троянские методики, — отметили эксперты из Lookout. — Эта тенденция не может не беспокоить".В Lookout подозревают, что между тремя семействами рекламных программ много общего помимо методов распространения. Например, части кода у различных вариантов этих зловредов совпадают, также они используют одни и те же эксплойты. Жертвами рекламных троянцев стали пользователи из США, Германии, России, Ирана, Индии, Ямайки, Судана, Бразилии, Мексики и Индонезии."Чтобы получить права суперпользователя, каждое из обнаруженных рекламных приложений использует публично доступные эксплойты, — пишут исследователи. — Например, Kemoge идет в комплекте по крайней мере с восемью эксплойтами, чтобы завладеть как можно большим числом устройств".Те, кто стоит за атаками Shuanet, Shedun и Kemoge, перепаковывают легитимные приложения, в том числе Facebook, Twitter, WhatsApp и ряд других популярных программ, внедряя вредоносный код, а затем публикуя их в сторонних магазинах и репозиториях. Все приложения, содержащие код рекламного ПО, полностью сохраняют свою функциональность, но при этом пользователи получают агрессивную и навязчивую рекламу и не могут избавиться от напасти даже после сброса до заводских настроек."Что еще хуже, пользователи, скорее всего, не смогут деинсталлировать приложение — им придется либо обращаться к специалистам, либо покупать новый девайс", — сетуют в Lookout.Помимо приложений широкого спроса рекламный зловред поразил программу Okta, которая используется для двухфакторной аутентификации и защиты устройства. В Lookout, однако, отметили, что разработчики зловреда не догадались похитить с его помощью данные пользователей Okta."Если посмотреть на методы распространения зловреда, то становится очевидно, что все три семейства автоматически перепаковывают тысячи популярных приложений с официальных магазинов типа Google Play, — пишут исследователи. — Интересно, что из списка "целей" исключены антивирусные программы, что говорит о тщательном планировании всех трех кампаний".Учитывая, что джейлбрейк и рутинг в последнее время вызывают все больше беспокойства, компаниям стоит обратить внимание на эту негативную тенденцию — среди приложений, зараженных рекламным ПО, имеются и корпоративные."Если зловред получает права суперпользователя, владелец устройства не всегда сможет контролировать, какие именно приложения получают доступ к системному уровню. Благодаря повышенным привилегиям некоторые из этих приложений могут скомпрометировать конфиденциальные и критичные данные", — предупреждают исследователи.Таким образом, используемая злоумышленниками модель не только позволяет им обогащаться за счет платы за установку, но и открывает возможность для повышения привилегий и проведения других атак."Мы считаем, что со временем такие троянские приложения только усложнятся и через получение прав суперпользователя смогут заражать другие мобильные устройства, повышать привилегии других мобильных зловредов, позволяя им записывать и читать данные в системных директориях, а также лучше маскировать свою активность", — говорится в отчете Lookout.

Источник:
Threatpost