Телефонные закладки и безопасность мобильного устройства

С развитием современных информационных технологий неизбежно возрастает вероятность атаки на мобильное устройство со стороны мошенников. И если раньше злоумышленники писали вредоносные программные коды и «заражали» ими телефоны, то теперь вирусы тщательно скрываются от глаз пользователей. Они встраиваются в популярные приложения и игры и способны тайно управлять телефоном или даже полностью парализовать его.
2
Павел Иванов
директор по развитию бизнеса,
ООО «Грин Хэд»
С помощью телефонных закладок можно, например, обеспечить в нужный момент времени утечку персональной информации, нарушить ее целостность или вывести мобильный телефон из строя, заблокировав его.

Телефонные закладки — это незаметные пользователю части ПО, установленного на устройство, которые в любой момент времени дают возможность вмешиваться в его работу.

Схема атаки может выглядеть следующим образом: злоумышленник скачивает исходные коды интересующей его игры, добавляет в код необходимые функции, а затем распространяет игру через свои каналы. Даже установка лицензированного ПО, которое прошло проверку компанией-производителем ОС или мобильного устройства, не гарантирует отсутствия в исходном коде недокументированных функций, которые совершают какие-либо неправомерные действия в отношении пользователя. Более того, такие компании, как Google и Apple, собирают информацию о местоположении пользователей и идентификаторов Wi-Fi-устройств, их окружающих. Достаточно зайти на нужный сайт, ввести искомый МАС-адрес и можно посмотреть на карте, где находится человек, за которым ведется наблюдение.

Закладки для целенаправленных атак

Нередко добавляются и специальные закладки для целенаправленных атак с возможностью удаленного управления их работой. Изменяя параметры работы закладок, злоумышленник может использовать пользователей зараженных устройств в мошеннических схемах без их ведома. Ярким примером может служить вредоносная программа Android.Anzhu, которая способна менять конфигурацию закладок и управлять смартфоном.

исходный кодAndroid.Anzhu — это бэкдор-программа (backdoor), которая устанавливается злоумышленником на мобильное устройство жертвы для дальнейшего получения беспрепятственного доступа к нему. Троян обладает очень широким набором функций, среди которых сбор персональных данных владельца телефона, включая геолокационные координаты и IMEI (международный идентификатор мобильного оборудования).

Вредоносная программа встроена в Screen Off And Lock — известное приложение, предназначенное для блокировки экрана и выключения смартфона одним прикосновением без использования кнопки питания. После установки на экране мобильного устройства вместе с иконкой программы создается дополнительный значок для ее запуска в режиме настроек — Configure Screen Off And Lock.

Попав в устройство, Android.Anzhu может изменять, добавлять или удалять закладки в браузере мобильного телефона, а также устанавливать без ведома пользователя различные сторонние приложения. Android.Anzhu может изменить их системные привилегии и запустить выполнение. Размещая в закладках браузера ссылки на вредоносные сайты и меняя их атрибуты, правонарушитель может использовать владельцев зараженных устройств в мошеннических схемах.

Android.Anzhu может отслеживать изменения в системном журнале Android, например получать информацию о событиях, связанных с запуском и открытием окон различных приложений.

Еще одна проблема, с которой может столкнуться владелец телефона с внедренной закладкой, — это кража пароля к мобильному клиент-банку. Это стало возможным из-за непродуманности систем аутентификации и пренебрежения вопросом безопасности в пользу скорости разработки и внедрения услуг. Если на сайте интернет-банка (а такое бывает) отсутствует двухфакторная аутентификация, то приложение-жучок на телефоне атакуемого может, например, выполнить скрытую отправку SMS с целью установки нового пароля. При этом все промежуточные служебные уведомления по SMS от интернет-банка (к примеру, уведомление о смене пароля) будут перехватываться жучком и удаляться из системы. И даже если в интернет-банке присутствует аутентификация с отправкой дополнительного кода подтверждения по SMS, то современные профессиональные закладки научились преодолевать и это препятствие. В этом случае жучок имеет парсер входящих SMS, находит в них нужный код и так же скрытно от жертвы отправляет его интернет-банку. В результате деньги потеряны.

Программы-шпионы

Также в сети Интернет стали появляться программы-шпионы. За умеренную сумму денег такой жучок будет собирать любую конфиденциальную информацию пользователя и незаметно отправлять ее злоумышленнику.

Правила предосторожности

  • Устанавливать приложения только из проверенных источников или с официальных сайтов разработчиков.
  • Внимательно следить за обновлениями, которые вам предлагают. Если вы пытаетесь обновить Android-приложение и получаете сообщение о том. что его невозможно установить, скорее всего обновление поддельное и подписано другой подписью (именно поэтому приложение не может обновиться).
  • Проверять список разрешений перед установкой. Вполне возможно, что в зараженное приложение добавили несколько опасных разрешений.
  • Нелишним будет иметь на своем мобильном телефоне антивирусную программу, которая отследит проникновение злоумышленника в ваш телефон.

Самый простой метод внедрения закладки в приложение — это модификация его исходного кода. Чаще исходный код общедоступен только в свободно распространяемых программах, которых не так много на сегодняшний день.

Если же исходный код непосредственно не доступен, существует второй вариант внедрения закладки — изменить непосредственно файл приложения .арк.

Файл арк — это обыкновенный zip-архив, содержащий исполняемый код, манифест, цифровую подпись и файлы ресурсов. В первую очередь интересен код, который хранится в файле classes.dex. Вместо обычной виртуальной машины Java в Android используется специальная виртуальная машина Dalvik.

Формат dex — это формат исполняемых файлов для Dalvik. Опытному вирусописателю вполне под силу внедрить вредоносный код в уже скомпилированный код, причем можно не просто добавить свои классы, но и поменять уже существующие, полностью изменив логику работы программы. Кроме самих классов и необходимых ресурсов, в файле classes.dex хранятся подпись и контрольная сумма, которые нужно будет поменять после внесенных изменений.

Также необходимо прописать требуемые изменения Android-Manifest.xml: добавить нужные разрешения или, к примеру, объявить добавленные сервисы. Но и здесь существуют трудности, так как в арк файл манифеста хранится в зашифрованном виде. Для того чтобы расшифровать манифест, можно воспользоваться утилитой android-apktool.

После изменения исполняемого кода и манифеста приложение подписывается другой подписью. Кроме того, возможно автоматизировать внедрение закладки и «заражать» приложения уже непосредственно на устройстве.

В закладках может содержаться что угодно, такие приложения могут делать все, что им позволит система:

  • возможность отправлять платные SMS-сообщения и совершать звонки на платные номера;
  • записывать звонки;
  • доступ к личной информации (контактам, SMS-сообщениям);
  • нанесение вреда непосредственно ОС и др.

Таким образом, даже безобидное на первый взгляд приложение или игрушка для мобильного устройства может оставить пользователя без телефона. Вредоносная закладка дает возможность злоумышленникам в буквальном смысле управлять зараженным устройством удаленно. В частности, выполнять на нем команды, отправляемые с сервера злоумышленников, устанавливать различные приложения, а также изменять настройки в браузере телефона. Более того, не исключена возможность вовлечения владельца телефона в мошеннические схемы без его ведома.

Чтобы избежать неприятностей и обезопасить свой смартфон от злоумышленников, будьте бдительны и соблюдайте простые правила информационной безопасности.

Источник: Журнал «Information Security/ Информационная безопасность» #6, 2012